Audit Et Contrôle Interne ™ #AUDIT [PDF]

Zitiervorschau

Collection dirigée par G. CHARREAUX / P. JOFFRE / G. KOENIG

Audit et contrôle interne 4e édition De la conformité au jugement Benoît Pigé

136 boulevard du Maréchal Leclerc 14000 Caen © Editions EMS, 2017 Tous droits réservés www.editions-ems.fr

ISBN : 978-2-37687-003-6 (Version numérique)

Sommaire Introduction Chapitre 1. Le contrôle interne, de l’intention à l’action 1. Les conditions d’existence du contrôle interne 2. Le rôle du contrôle interne 3. La responsabilité du contrôle interne Chapitre 2. L’audit 1. La demande d’audit 2. Les auditeurs 3. L’approche par les risques Chapitre 3. La normalisation de l’audit comptable et financier 1. La normalisation de l’information comptable et financière 2. Qualité de l’audit et gouvernance d’entreprise Chapitre 4. La mise en œuvre de l’audit comptable et financier 1. La démarche d’audit comptable et financier 2. La formalisation de l’audit 3. Les cycles comptables et les processus Chapitre 5. La normalisation du contrôle interne 1. Les normes COSO

2. Faut-il normaliser le contrôle interne ? Conclusion 1. Les limites de la normalisation 2. Les limites de la conformité 3. La tétranormalisation

Introduction Dans une économie mondialisée, où les relations sociales se distendent et où les normes morales et sociales connaissent des évolutions très fortes, le besoin de confiance apparaît plus que jamais nécessaire. Dans une société close, la confiance réside dans le respect des normes sociales en vigueur. La parole donnée peut être un engagement ferme et définitif, car les coûts sociaux pour chaque individu, en cas de rupture de la parole donnée, sont élevés. Dans une économie ouverte et mondialisée, pour que les transactions puissent se dérouler, il est nécessaire de disposer de mécanismes permettant de pallier cette disparition des normes morales. Le contrôle interne et l’audit constituent deux facteurs complémentaires qui permettent de réinjecter de la confiance dans les processus, les activités, les transactions, que réalisent les organisations, que ce soit en leur sein ou avec des tiers. En formalisant les procédures, les mécanismes de contrôle et la supervision, le contrôle interne apporte la garantie que le produit ou le service réalisé correspond bien aux caractéristiques qui lui sont attribuées. C’est l’existence d’un processus de contrôle interne qui permet (avec, parfois, des exceptions) au client de considérer que sa voiture fabriquée en République tchèque est aussi fiable que la voiture fabriquée dans l’usine française. De même, ce sont les procédures de contrôle interne qui garantissent au consommateur que les fraises en provenance d’Espagne offrent le même respect de la réglementation européenne que celles cultivées en Provence1. Dans le domaine comptable et financier, ce sont les procédures de contrôle interne qui assurent la possibilité d’un marché financier mondialisé, où l’épargnant français peut acheter des actions de Toyota sans pour autant comprendre toute la complexité des activités de ce constructeur automobile, ni même avoir visité une quelconque de ses usines. En considérant que les procédures de contrôle interne sont efficaces, l’épargnant considère que l’information comptable et financière qui est communiquée reflète la réalité des transactions économiques réalisées par l’entreprise. L’audit apparaît alors comme la garantie (le plus souvent externe) que les procédures de contrôle interne fonctionnent et sont adaptées, et que le produit ou le service réalisé respecte les normes en vigueur. En l’absence d’un système de contrôle interne pertinent, l’audit ne peut que constater les risques et éventuellement mesurer ponctuellement les dérives. L’audit trouve donc sa pleine justification quand il s’appuie sur un système de contrôle interne adapté en permanence à l’évolution de l’organisation et de son

environnement. L’audit et le contrôle interne sont les deux piliers qui soutiennent la crédibilité de toute information comptable et financière. L’audit, car il s’agit d’un regard extérieur sur la qualité de l’information collectée, traitée et transmise ; et le contrôle interne, car il regroupe l’ensemble des procédures et des mécanismes mis en œuvre par chaque entreprise pour s’assurer de la pertinence du processus de collecte, de traitement et de transmission de l’information. Le contrôle interne doit permettre de s’assurer que toutes les transactions sont bien appréhendées, qu’elles sont correctement valorisées et qu’elles font l’objet d’un suivi conforme aux normes en vigueur (qu’il s’agisse des normes internes à l’organisation, des normes spécifiques à un secteur d’activité ou des normes internationales). Ce tandem contrôle interne et audit ne trouve réellement son unité qu’avec l’introduction de la troisième dimension qu’est la gouvernance. Un système de contrôle interne ne sera développé, adapté et mis à jour que s’il existe une volonté forte de le faire. De surcroît, le système de contrôle interne sera d’autant plus pertinent que les diverses parties prenantes auront été impliquées dans sa conception et dans sa mise en œuvre. De même, l’audit répond à un besoin, celui de disposer d’informations fiables et pertinentes pour les parties prenantes de l’entreprise, en particulier si elles sont associées à la gouvernance des organisations. Sans un système de contrôle interne efficace et efficient qui apporte la garantie d’un réel pilotage de l’organisation, et sans un audit de qualité qui apporte aux parties prenantes la confiance dans l’information transmise, c’est l’ensemble du système de gouvernance de l’entreprise qui s’effondre avec les conséquences multiples sur les diverses parties prenantes : licenciements, fermetures d’usines ou d’établissements, livraisons non honorées, service après-vente disparu, impayés, perte nette pour les actionnaires et les créanciers, etc. L’audit et le contrôle interne des entreprises jouent donc un rôle essentiel dans le fonctionnement de nos sociétés. Pourtant, cette approche idyllique du contrôle interne et de l’audit cache mal la difficulté de nos sociétés à intégrer les acteurs économiques dans leur impact sur l’environnement et la société. Alors que les normes internationales semblent être arrivées à un niveau de détail remarquable, elles s’avèrent paradoxalement incapables de répondre aux grands enjeux que les entreprises internationales font peser sur nos sociétés. Les normes sont conçues en un temps donné et un lieu donné, elles figent le temps, elles font comme s’il était possible de vivre éternellement dans le présent. En un mot, elles momifient, elles interdisent la vie2. La faillite d’Enron en 2001, la disparition du réseau d’audit Arthur Andersen en 2002, la faillite de Lehman Brothers en 2008, la fraude Madoff en 2008, ne sont que les

affaires médiatiquement les plus importantes de ces dernières décennies où les scandales comptables et financiers ont abondé. En France, la perte nette de 5 milliards d’euros subie par la Société Générale à la suite de la fraude de l’un de ses courtiers, les pertes subies par les autres banques à la fin de l’année 2008 (notamment Dexia et Natixis), ou l’amende record de 9 milliards d’euros payée par BNP en 2015 aux ÉtatsUnis, ont révélé la fragilité de l’information comptable et financière et la difficulté à rendre compte fidèlement de la situation d’une entreprise. Se former au contrôle interne et à l’audit ne devrait donc pas d’abord consister en l’apprentissage de normes qu’il suffirait d’appliquer, mais plutôt en la formation du jugement, de la capacité humaine à appréhender un système complexe pour en percevoir les forces et les faiblesses et pour en évaluer les risques qui pèsent sur les diverses parties prenantes. Cet ouvrage présente donc les éléments qui vont guider l’action de l’entreprise pour concevoir et mettre en œuvre les procédures et les contrôles et lui permettre d’avoir une action qui s’inscrive dans la durée. Cela permet de distinguer ce qui relève du « comment faire » de ce qui relève du « pourquoi le faire ». Cette distinction permet d’expliquer qu’un même principe de contrôle interne puisse parfois être absolument nécessaire et, à d’autres instants, s’avérer contre-productif et inefficient. Un principe érigé en norme peut s’avérer mortifère quand la norme devient un absolu. À l’inverse, un principe posé comme un repère sur l’horizon peut alerter sur les dérives, les situations susceptibles de remettre en cause la pérennité de l’organisation et son inscription dans la durée. Cet ouvrage insiste sur les principes, qu’il s’agisse des principes de contrôle interne ou des principes de l’audit. Car l’audit, bien qu’étant apparemment un processus très normé, est en réalité un processus qui devrait s’adapter à la diversité des situations rencontrées. Le paradoxe est la croyance que le processus d’audit doive sans arrêt se normaliser, se complexifier et se spécialiser pour suivre les innovations techniques et technologiques des entreprises, des produits ou des services qu’il doit auditer. Ce faisant, le processus d’audit se noie dans le détail et en perd la vision globale. Le résultat est simple : on filtre le moucheron et on laisse passer le chameau. On impose des reclassements comptables et on certifie les comptes d’Enron, Lehman Brothers ou BNP. L’ouvrage est composé de cinq chapitres. Les deux premiers portent sur les principes du contrôle interne et de l’audit. Les trois derniers développent les spécificités de l’audit comptable et financier et de la normalisation du contrôle interne. L’ouvrage débute donc par une réflexion sur les principes sous-jacents à la mise en œuvre d’un contrôle interne des processus pour s’achever par une mise en perspective de la normalisation du contrôle interne. Entre les deux figurent trois chapitres sur l’audit.

Cette structure apparemment surprenante, il eut semblé logique de traiter d’abord le contrôle interne de façon exhaustive avant d’aborder l’audit, se justifie par la problématique de cet ouvrage. Si nous souhaitons apporter au lecteur les outils nécessaires à une maîtrise de l’audit et du contrôle interne, cela passe nécessairement par une prise de distance vis-à-vis des normes très techniques qui gouvernent ces deux domaines. L’audit est un processus. Il vise à offrir un service : la certification d’un processus de production, d’un bien ou d’un service. En ce sens, il est normal qu’il fasse lui-même l’objet de normes, de recommandations, de bonnes pratiques. L’audit répond aux besoins d’un client (dans le domaine de l’audit comptable et financier, il s’agit plutôt d’une diversité de clients même si, pour les normalisateurs financiers, l’information comptable et financière est supposée répondre en priorité aux besoins des investisseurs financiers). L’audit est une prestation de service avec un agent qui exécute un processus pour satisfaire une demande. Le contrôle interne n’est pas un processus, il n’offre pas un service à un client. Le contrôle interne est quelque chose qui se rajoute, qui se surimpose au processus pour offrir une garantie de qualité, de bonne fin. L’absence de contrôle interne est la possibilité que les décisions prises ne soient pas appliquées, que le bien ou le service produit ne soient pas conformes aux attentes du client, que le processus ne réponde pas au cahier des charges qui l’avait établi, que l’information produite ne rende pas compte de la réalité des processus et des transactions. Si l‘audit et le contrôle interne ne sont pas similaires, ils sont cependant complémentaires. Le contrôle interne a besoin de l’audit comme l’audit a besoin du contrôle interne, mais l’un est premier par rapport à l’autre. Le contrôle interne est premier, car c’est lui qui permet d’avoir des processus fiables. L’audit est second, car il permet de s’assurer que le processus est fiable et il permet de communiquer cette assurance. Mais, pour pouvoir offrir cette assurance de fiabilité, l’audit a besoin de pouvoir s’appuyer sur les processus de contrôle interne en vigueur. Le paradoxe est donc que, pour être efficace, le contrôle interne est nécessairement spécifique à une entreprise, à son environnement. Mais, pour pouvoir être utilisé par le processus normalisé d’audit, le contrôle interne a besoin d’être normalisable pour être comparé à une base de référence, à des standards de bonne pratique. Pour ces diverses raisons, nous démarrons par les principes qui justifient l’existence du contrôle interne pour ensuite développer à la fois les principes de l’audit et les normes qui régissent sa mise en œuvre avant de terminer par les tentatives de normalisation du contrôle interne et leurs limites. 1. Cette affirmation ne comporte aucun jugement de valeur en faveur de l’industrialisation à outrance de l’agriculture.

En effet, les normes européennes peuvent être trop faibles ou incomplètes et ne pas prendre en compte des externalités négatives (érosion des sols, coût du transport, pollution, etc.). 2. Cela ne signifie pas qu’elles sont inutiles. Au contraire, elles sont des guides, des repères. Il suffit de penser aux normes d’hygiène : se laver les mains avant les repas permet d’éviter la transmission de nombreuses maladies. Mais ce n’est pas suffisant ; non seulement il faut une vie saine mais, de plus, le corps a aussi besoin de se confronter de temps en temps à de petites agressions ; autrement, il développe des allergies, une forme d’incapacité à réagir au moindre traumatisme, une sur-réaction devant des événements apparemment bénins.

Chapitre 1. Le contrôle interne, de l’intention à l’action Pour les sciences de gestion, le contrôle interne regroupe l’ensemble des systèmes de contrôle établis par les dirigeants pour : conduire l’activité de l’entreprise d’une manière ordonnée ; assurer le maintien et l’intégrité des actifs ; fiabiliser les flux d’information. Le contrôle interne couvre les domaines comptables et financiers, mais il porte aussi sur les flux opérationnels et la gestion de la production, de l’approvisionnement et de la distribution. Il vise à contrôler les actifs de l’entreprise, améliorer l’efficience opérationnelle et renforcer l’adhésion des employés à la politique stratégique de l’entreprise. Mais, de façon plus générale, le contrôle interne porte sur la relation entre l’intention et l’action. Si l’action n’était que le résultat de l’intention sans que nulle interférence ne puisse en modifier la réalisation, il ne serait pas nécessaire de recourir au contrôle interne. Dans le domaine physique, les réactions se produisent en fonction des différents éléments intervenant dans les processus physiques et chimiques. En fonction de la connaissance des lois naturelles, il est possible de prévoir parfaitement le résultat attendu. L’introduction du vivant (et en particulier de l’humain) bouleverse cette causalité parfaite. Un être humain peut avoir l’intention d’effectuer telle action sans pour autant y réussir, soit parce qu’il a mal appréhendé les conditions de réalisation, les oppositions qu’il va rencontrer, soit tout simplement parce qu’en lui-même il est traversé d’intentions contradictoires et qu’inconsciemment il ne souhaite pas la réalisation de l’action ou du processus. Le contrôle interne, la maîtrise de soi est donc une condition essentielle pour arriver à faire coïncider ses actions avec ses intentions. Mais, cela n’est pas suffisant. En effet, l’être humain vivant en société, les actions humaines impliquent généralement d’autres êtres humains qui ont leur propre intentionnalité. Faire coïncider l’action avec l’intention nécessite donc la prise en compte de l’intentionnalité des autres acteurs impliqués dans le processus afin qu’ils ne s’y opposent pas ou qu’ils y collaborent, et que cette collaboration se réalise dans le sens souhaité par le décideur initial. Les organisations, qui sont des communautés d’individus, sont particulièrement soumises à ces tensions entre les intentions (les objectifs) poursuivies et les actions réellement effectuées. L’objet du contrôle interne est de mettre en place des procédures,

des mécanismes de décision et de contrôle qui rapprochent les actions effectuées des intentions initiales, qui identifient les écarts, qui les contrôlent et facilitent la mise en œuvre d’actions correctrices. Par conséquent, au sein des organisations, le contrôle interne porte principalement sur les relations interpersonnelles, sur les interactions entre les intentions et les actions des différents acteurs. Le contrôle interne vise à canaliser l’expression des intentions1 pour que le résultat collectif des diverses actions individuelles converge vers l’intention initiale. Les deux grands modèles de gouvernance actuels, la théorie de l’agence et la théorie des parties prenantes proposent des méthodes divergentes de résolution des conflits entre l’intention et l’action. Pour la théorie de l’agence, l’unicité de l’intention permet de focaliser le contrôle interne sur la conformité à l’objectif assigné à l’entreprise par l’acteur principal2. L’objectif étant clairement identifié, la maîtrise des outils organisationnels permet de s’assurer que les actions (et les décisions) individuelles contribuent à la réalisation de l’objectif. Pour la théorie des parties prenantes, l’objectif n’est pas unique, mais il émerge d’une forme de consensus entre les diverses parties prenantes sur la pluralité des objectifs à atteindre. Le contrôle interne devient alors nécessairement plus complexe puisqu’il n’est plus possible de définir ex ante l’objectif précis à atteindre. Mais, inversement, les actions des diverses parties prenantes trouvent plus facilement à se conformer aux objectifs de l’entreprise puisque la définition des objectifs s’est faite à travers la diversité des attentes (des intentions) des diverses parties prenantes.

1. Les conditions d’existence du contrôle interne Le contrôle interne s’avère nécessaire pour trois raisons liées à la condition humaine. Les deux premières ont toujours existé. La troisième est plus récente et permet d’expliquer pourquoi le contrôle interne a pris une telle importance dans nos sociétés modernes. La première raison est l’inscription de la condition humaine dans le temps. Parce que la condition humaine se déroule dans un temps qui ne laisse pas toute chose immuable, mais qui modifie la nature des êtres et des choses, l’être humain éprouve un besoin de contrôler les processus temporels, de maîtriser l’évolution des phénomènes qui l’entourent. La seconde raison est la nature sociable et sociale de la condition humaine. L’être humain ne peut pas vivre en autarcie, il a besoin d’une confrontation à l’autre, d’une rencontre, d’une collaboration. L’existence d’organisations, c’est-à-dire d’entités structurées pour répondre de façon coordonnée et collégiale à des besoins humains, s’appuie sur la complémentarité de la relation à l’autre. L’autre est nécessaire pour

développer de nouveaux produits, de nouveaux services, de nouvelles richesses. Mais cette collaboration avec un autre est aussi source de nombreux risques liés non seulement à la différence entre les comportements, les attentes, les cultures, mais aussi à la possibilité de l’opportunisme. La confrontation à l’autre crée des risques : l’envie, la jalousie peuvent inciter au vol ; la volonté de pouvoir peut conduire à l’esclavage. Ces risques, liés aux désirs primaires de l’être humain, nécessitent la mise en œuvre de procédures de contrôle pour les maîtriser, les canaliser. La troisième raison est la prolifération des opérations automatisées, générées initialement par des personnes, mais qui se déroulent sans contrôle humain (ou avec un contrôle réduit au minimum). Par l’industrialisation, puis par l’informatique et la numérisation, de nombreux processus se perpétuent sans qu’il y ait nécessairement une volonté humaine immédiatement présente. L’exemple le plus emblématique est celui décrit par Stanley Kubrick (1968) dans le film 2001, l’odyssée de l’espace3. Parce que les processus automatisés exercent un impact important sur la vie de l’être humain, il est nécessaire de prévoir des procédures de contrôle, qui, non seulement, s’assurent que les processus automatisés accomplissent leurs fonctions conformément aux instructions qui ont été saisies, mais qui garantissent également que ces processus automatisés peuvent faire l’objet d’une reprise de contrôle par un responsable humain dans le cas d’événements imprévus exigeant une réponse différente de celle initialement envisagée et programmée dans les automates.

1.1. L’inscription dans la durée La raison d’être du contrôle interne se trouve dans l’irréversibilité du temps. Parce que, dans le temps du vivant, les processus ne sont pas réversibles, il est nécessaire de mettre en œuvre des contrôles pour s’assurer que les processus se déroulent de la façon souhaitée et, à défaut, de les ralentir, éventuellement de les arrêter, et (dans le cas où ils concerneraient une part significative de processus purement physiques ou chimiques) de les inverser, sans que pour autant cette inversion ne parvienne à nier, à effacer ce qui s’est produit, puisque tout processus, parce qu’il se greffe sur du vivant, conserve une trace irréversible.

Encadré 1.1 La thermodynamique et le principe d’entropie Les processus physiques ou chimiques se caractérisent par leur réversibilité. Mais, selon le second principe de thermodynamique, l’énergie tend à se répartir de façon uniforme, c’est-à-dire à s’écouler du milieu le plus chaud vers le moins chaud pour aboutir à une relative

homogénéité dans la distribution de l’énergie. Les phénomènes naturels se déroulent donc dans un sens contraint (par les conditions initiales d’énergie des différents milieux) et il n’existe pas de processus naturel qui aboutisse à séparer le froid du chaud. Pourtant, par la maîtrise de l’énergie et l’apport d’une énergie supplémentaire, l’être humain peut inverser des phénomènes naturels (grâce aux machines à vapeur, aux moteurs à explosion, etc.)4. Il peut produire du froid dans une atmosphère chaude et inversement. L’industrialisation est cette capacité de l’être humain à inverser des phénomènes par l’apport d’un supplément d’énergie. La conséquence de cette maîtrise des processus physiques et chimiques, c’est qu’apparemment, sous réserve de disposer de l’énergie nécessaire, rien n’est impossible à l’être humain puisque, par la maîtrise des processus, il peut sembler disposer du pouvoir d’inverser localement le sens du temps. Maîtriser l’écoulement du temps (alors que la fuite du temps semble inexorable) signifierait la disparition du contrôle interne puisque tout processus peut non seulement être stoppé (ce que les industries agroalimentaires font couramment en recourant à la chaîne du froid), mais aussi, et surtout être inversé. Une erreur ne serait donc plus dramatique, mais signifierait simplement une perte d’énergie puisqu’il serait possible d’inverser le processus pour revenir à l’état initial. La seule conséquence serait le surcroît d’énergie apporté pour inverser le processus. Si les processus étaient exclusivement physiques et chimiques et s’ils se déroulaient sans déperdition d’énergie à l’extérieur d’un système clos, on pourrait intervenir à tout instant du processus pour l’inverser et revenir à l’état initial. C’est parce que les processus ont des interactions avec la vie, et parce que les systèmes ne sont pas clos et qu’une fraction de l’énergie se dissipe en dehors qu’il est souhaitable d’intervenir le plus tôt possible dans le cas de processus qui ne se déroulent pas conformément aux attentes. Deux phénomènes accentuent l’importance du contrôle interne. Le premier est l’accès à l’énergie (la raréfaction à terme des ressources fossiles) avec ses conséquences environnementales (le réchauffement

climatique). Le second est le phénomène de la vie. À la différence des phénomènes physiques et chimiques, la vie n’est pas réversible. Qu’il s’agisse d’un être humain, d’un animal ou d’un végétal, la vie ne semble pas pouvoir être inversée (sauf pour certaines théories utopiques). La vie peut se poursuivre sous d’autres formes (conception, greffe, bouture…), mais elle ne peut pas se dérouler de telle manière qu’elle nierait ce qui s’est passé, qu’elle effacerait son passé. Contrôler le déroulement des processus va donc consister à analyser les processus pour en déterminer les relations de causalité. Ces dernières peuvent être séparées entre les causalités purement physiques ou chimiques, celles qui n’impliquent aucune intentionnalité, et les causalités du vivant qui intègrent une part d’intentionnalité.

1.1.1. Les causalités physiques ou chimiques Dans l’analyse des réactions chimiques ou physiques, la difficulté est l’appréhension de toutes les relations de causalité. Une impureté dans un composant peut suffire à modifier le déroulement d’un processus (par exemple, dans le domaine de l’aéronautique ou du nucléaire). Un des objectifs majeurs du contrôle interne est de s’assurer que les composants intervenant dans le processus correspondent aux spécifications attendues. Selon la modélisation des conséquences des impuretés ou des écarts au standard, les procédures de contrôle interne seront plus ou moins strictes. Les méthodes d’échantillonnage et de recherche de la qualité totale (par exemple les méthodes statistiques du type 6-sigma5) sont des procédures de contrôle interne destinées à s’assurer que les déviations en-dehors des plages de tolérance sont extraordinairement rares.

Encadré 1.2 Le DPO ou « défaut par opportunité » Sur des flux de production importants, il est possible de compter (ou d’évaluer par échantillonnage) le nombre de produits finaux non conformes. Dans les processus industriels, ce taux est compté par millions (PPM : partie par millions) et il permet de mesurer la conformité du processus de production aux exigences du client. Sachant qu’un même produit peut éventuellement comporter plusieurs défauts rédhibitoires, il est possible d’évaluer le nombre total de défauts

(de non-conformité) relevés par rapport au total de la production. On obtient alors le DPU (défaut par unité). Certains produits sont plus complexes que d’autres et exigent un plus grand nombre de points de conformité. En divisant le DPU par le nombre de non-conformités possibles (dénommées « opportunités ») pour un même produit, on obtient le DPO (défaut par opportunité). En calculant cet indicateur par million de pièces, on obtient le DPMO (défauts par millions d’opportunités). Cet indicateur permet d’évaluer la qualité du processus de production6. 1.1.2. Les causalités du vivant Le vivant intègre une intentionnalité dans les relations de cause à effet. Un individu n’effectue une action que s’il en retire une satisfaction (immédiate ou à long terme, matérielle ou spirituelle). Mais ces satisfactions varient d’un individu à un autre en fonction d’une multitude de facteurs impossibles à parfaitement identifier, car sans doute liés à l’être même de chaque individu. Ainsi, deux entreprises apparemment similaires peuvent être confrontées à des comportements humains totalement différents en raison à la fois des relations sociales propres à chaque entreprise et des personnalités qui les composent.

Encadré 1.3 L’incitation à la fraude A posteriori, la plupart des cas de fraude s’expliquent assez facilement. Ainsi, à la fin des années 1980, un comptable d’une entreprise de BTP sur la Côte d’Azur avait prélevé des sommes importantes dans la caisse. Après découverte du préjudice, il s’est avéré que le comptable était progressivement tombé dans les réseaux de la prostitution et qu’il avait un besoin toujours croissant d’argent. Plus récemment, au Togo, la trésorière d’une institution de microfinance a également détourné l’argent de la caisse. Après enquête, il est apparu que la mère de cette trésorière avait une maladie pour laquelle la fille devait acheter des médicaments onéreux dont le prix dépassait ses revenus. Cette diversité des causalités humaines semble apparemment pouvoir être maîtrisée

par le recours aux probabilités, aux lois des grands nombres.

1.1.3. Le risque statistique et l’imprévu Parce qu’une entreprise (ou un processus de production) est soumise à de multiples facteurs internes et externes et que, par conséquent, le résultat attendu dépend de l’interaction d’un nombre considérable de facteurs, il est tentant d’utiliser les méthodes statistiques pour modéliser l’impact de la multiplicité des causalités à l’œuvre. Par exemple, le chiffre d’affaires d’un constructeur automobile peut dépendre des nouveaux modèles qui seront mis sur le marché, mais également de l’évolution de la situation économique générale (taux de croissance, taux de chômage, cours des devises, etc.), ainsi que du climat social au sein des usines. L’approche statistique permet de modéliser les conséquences de ces divers facteurs et de leur interaction. Néanmoins, cette modélisation repose sur la collecte de données qui, par définition, sont historiques. Il existe donc un postulat implicite sur la stabilité des relations de causalité et de dépendance. Ce qui a été observé sera à nouveau observé. Si cela est relativement vrai pour les lois physiques et chimiques, cela l’est beaucoup moins dès que l’on touche aux relations humaines. Non seulement celles-ci ne sont pas la répétition du passé, mais elles sont plutôt une forme d’accumulation et de transformation de ce qui a été. Tant l’être humain que les sociétés sont le produit et l’acteur de leur histoire. Par conséquent, ce qui a été fait dans le passé ne sera pas nécessairement reproduit à l’identique dans le futur. La difficulté d’une approche statistique ou probabiliste vient de l’impossibilité d’appréhender les événements non statistiques, c’est-à-dire ceux dont la causalité nous échappe, soit parce qu’ils sont extraordinairement rares (ils résultent d’une conjonction de facteurs qui n’avait pas été envisagée), soit parce qu’ils découlent d’une intentionnalité qui n’avait pas été anticipée7.

Encadré 1.4 Le cas Jérôme Kerviel à la Société Générale La Société Générale avait un système statistique très sophistiqué d’appréhension et de mesure des risques. Pourtant, le courtier Jérôme Kerviel a réussi à déjouer les contrôles. Cette réussite s’explique par deux facteurs : ce courtier avait une expérience antérieure des contrôles (il avait auparavant occupé un poste de contrôleur au sein de la banque) et il connaissait donc les points critiques ; mais, de surcroît, ce courtier est allé dans le sens des valeurs de la banque : il gagnait de l’argent et il

en faisait profiter ceux qui avaient connu des déboires sur les marchés. Autrement dit, il était apparemment brillant et en partie altruiste. Il est vraisemblable que s’il avait opéré des opérations pour son intérêt privé, il aurait été arrêté beaucoup plus tôt, car, dans les modèles de causalité envisagés par la banque, un employé fraude son employeur en y cherchant un intérêt personnel direct. Dans le cas cité, l’intérêt était indirect, une sensation de puissance et un besoin de reconnaissance. Mais ces deux intérêts étaient en réalité partagés par la plupart des autres employés opérant sur les marchés financiers.

1.2. La relation à l’autre Dans une entreprise unipersonnelle, l’entrepreneur est non seulement le responsable de son processus interne de production, mais il en est également l’unique acteur. Le rapport à l’autre est extérieur à l’organisation et le contrôle interne porte donc en priorité sur un contrôle de son propre comportement et sur le contrôle des flux entrants. Dans une organisation plus complexe, où il existe de nombreux employés, le contrôle ne peut plus se limiter aux flux entrants. C’est en effet le processus de production lui-même qui dépend des relations humaines. Ce point a été mis en évidence par Ronald Coase8 quand il a réfléchi sur la distinction entre les processus internes à une entreprise et ceux se déroulant sur le marché par le biais des transactions. Dans le premier cas, la coordination des relations humaines se fait par le biais de l’autorité hiérarchique, autrement dit par un jugement humain. Dans le second cas, le jugement humain intervient aussi, mais il est très fortement impacté par le système de prix du marché dans lequel il s’insère. Les approches économiques contractualistes développées à la fin des années 19609 ont tendu à supprimer cette distinction entre l’entreprise et le marché en appréhendant de façon similaire les transactions internes et externes. Les employés d’une entreprise étaient perçus comme des contractants qui offraient un service en contrepartie d’un prix du marché. L’objet des théories contractualistes était de définir les pratiques optimales pour assurer la bonne exécution des contrats et conduire l’économie et les entreprises à l’efficience. Dans les approches contractualistes, l’accent est mis sur les ressources et tout contractant est perçu comme un apporteur de ressources. Les ressources étant appréhendées du point de vue de l’entreprise, elles perdent le caractère initialement personnel qu’elles avaient. Ainsi, d’un point de vue théorique, une ressource humaine se caractérise par des attributs qui peuvent différer d’un individu à un autre. Ces

attributs conditionnent la productivité des personnes. Mais la notion d’être, qui caractérise chaque personne comme être unique et qui trouve son expression dans la relation aux choses, aux personnes et, en particulier, au travail dans une organisation ; cette notion d’être n’est pas appréhendée par les approches contractualistes, car cela exigerait d’introduire des éléments liés à la relation humaine, à l’altérité. Par conséquent, dans ces approches contractualistes, il n’existe pas de différence, autre que le rapport entre la productivité et le coût du travail, entre le travail fourni par un individu A et le travail fourni par un individu B. L’individu est appréhendé en tant que ressource pour l’entreprise et non en tant que partie prenante impliquée dans un processus collectif. Une telle conception des employés, perçus comme des ressources externes que l’organisation doit gérer de façon optimale, conduit à se focaliser sur les dimensions qui traduisent un écart à la norme. Une des principales causes de l’écart à la norme est la possibilité d’un comportement qui diffère du comportement attendu. La confrontation entre cette normalisation du comportement et la réalité ontologique de l’être humain est fréquemment source de conflit puisque tout être humain se considère naturellement comme unique et, d’une certaine manière, irremplaçable (car impossible à remplacer à l’identique). L’individu perçu comme un objet soit se conforme au regard qui pèse sur lui (et il devient désincarné10), soit il se révolte en refusant le système, en recherchant la confrontation ou en cherchant à le contourner pour satisfaire ses propres aspirations humaines (c’est le cas emblématique de Jérôme Kerviel).

1.2.1. L’opportunisme Économiquement, l’opportunisme se définit comme la possibilité qu’un individu fasse primer son intérêt privé sur celui de son mandant. Les exemples de comportement opportuniste abondent : la caissière qui prend de l’argent dans la caisse pour son usage personnel, l’employé qui utilise les fournitures de son entreprise pour ses besoins privés, le commercial qui détourne une partie de la clientèle de son employeur, le fournisseur qui substitue un produit de qualité inférieure au produit initialement convenu, etc. En apparence, l’opportunisme est l’entrave la plus sérieuse au développement économique, car il remet en cause la relation de confiance entre les partenaires. Sans confiance, il n’y a plus d’échanges possibles. C’est ce que démontre l’étude de certaines économies en voie de développement où l’absence de règles, d’éthique, de déontologie, semble alourdir les coûts de transaction et freiner les échanges.

1.2.2. Le contrôle de l’opportunisme L’approche économique classique ne fait pas que postuler l’existence de

l’opportunisme ; elle considère que tout individu est opportuniste11. Parce que l’opportunisme est considéré comme une caractéristique intrinsèque de l’individu, il est normal de déployer de multiples moyens et procédures pour encadrer, voire même pour mettre à profit cet opportunisme. C’est ainsi que l’appât du gain qui, jusqu’à une période récente, était considéré comme un défaut grave, une entrave à la possibilité du vivre-ensemble d’une communauté, est désormais perçu comme un élément majeur de la croissance économique. Au lieu de chercher à contrôler ou à réprimer cet appât du gain, on va au contraire le favoriser et lui donner de multiples occasions de s’exercer. De façon concrète, cela s’observe en premier lieu pour les dirigeants ou les administrateurs de grandes sociétés cotées. Mais cela s’étend aussi aux élus avec la transformation des indemnités de fonctions en véritables rémunérations, en passant par la généralisation des primes et des rémunérations variables, y compris dans la fonction publique. Remettre en question le postulat d’opportunisme des individus ne consiste pas à nier la recherche individuelle de son intérêt ; cela consiste à supposer que chacun arbitre entre son intérêt personnel immédiat et l’intérêt d’autrui sans que l’intérêt d’autrui soit totalement ou systématiquement nié. En partant du postulat que l’être humain oscille entre opportunisme et altruisme, il est possible de repenser les systèmes de contrôle pour les faire porter davantage sur l’incitation à privilégier l’intérêt à long terme (qui intègre une part d’altruisme) par rapport à la poursuite de l’intérêt immédiat qui ne serait que la satisfaction des désirs biologiques. Comme l’a démontré Spinoza12, l’altruisme peut être appréhendé comme la prise en compte de l’intérêt personnel à long terme. Prendre en compte l’intérêt de l’autre, c’est rendre possible que l’autre puisse ultérieurement prendre en compte mon propre intérêt13. Ce jeu complexe où l’altérité consiste à s’éloigner d’un intérêt immédiat a été mis en lumière par la théorie des jeux et, en particulier, par l’application du jeu du prisonnier. Un modèle où chacun réplique de façon automatique à la situation présente, ou au comportement de son partenaire, ne conduit pas à une situation optimale. Pour atteindre l’optimalité, il est nécessaire qu’il existe une possibilité d’altérité14 (qui n’exclue pas la prise en compte de son intérêt personnel, mais qui le replace dans le temps, dans la durée).

1.2.3. L’impact de l’opportunisme sur la séparation des tâches Dans une vision économique classique polarisée sur l’opportunisme des individus, la séparation des tâches semble la procédure de contrôle fondamentale. En effet, si chacun est polarisé sur son intérêt personnel immédiat, et sur le système de sanctionsincitations qui y est associé, chacun aura intérêt à contrôler son voisin pour ne pas subir les coûts liés à la négligence, à l’incompétence ou à la fraude de son collègue.

La théorie de l’agence a néanmoins mis en évidence les coûts liés à la séparation des tâches. Elle a démontré qu’en rendant la mesure de l’effort individuel plus difficile à effectuer (parce que la réussite de l’effort individuel dépend également des efforts déployés par les autres membres de l’équipe), la séparation des tâches peut inciter à une certaine négligence, chacun se reposant sur l’autre pour fournir les efforts nécessaires à la réalisation de l’œuvre commune. Pour contrebalancer ce risque de comportement opportuniste (se reposer sur les autres pour effectuer le travail collectif), il apparaît nécessaire de renforcer le contrôle interne. Mais, en renforçant la séparation et le contrôle de la contribution personnelle de chacun, on alourdit le coût de la relation d’agence, et on rend moins compétitive la production globale. Une solution consiste à spécialiser un opérateur unique, chargé de contrôler les contributions individuelles et de percevoir les revenus résiduels15. La concentration du pouvoir décisionnel permet de contrebalancer la séparation des tâches opérationnelles. Ce faisant, on déplace le problème du contrôle puisque celui-ci se trouve désormais reporté au niveau des fonctions de gouvernance de l’entreprise.

Encadré 1.5 Séparation des tâches et concentration de la fonction décisionnelle, le cas Lehman-Brothers Dans la banque d’affaires américaine Lehman-Brothers16, le principe de séparation des tâches était parfaitement respecté. On avait d’un côté les employés qui assuraient l’activité et le montage des contrats, et de l’autre les employés qui en assuraient le contrôle et la mesure du risque (en particulier en termes de liquidité). Conformément au modèle économique classique, un agent (le PDG) était spécialisé pour assurer la coordination de l’ensemble et, conformément à la théorie de l’agence17, le système d’incitations qui lui était appliqué faisait qu’il percevait une part non négligeable des revenus résiduels. La partie manquante de ce système de séparation des tâches et de contrôle était la prise en compte d’un intérêt plus large que celui des seuls décideurs. Dans sa prise de décision, le PDG de Lehman-Brothers intégrait les intérêts de ses actionnaires et son intérêt personnel, mais il ne prenait pas en compte l’impact de ses décisions sur les acteurs non représentés au conseil d’administration de la banque. Un tel système n’est acceptable que si les conséquences d’une défaillance de

l’entreprise demeurent relativement limitées pour les autres acteurs. A posteriori, non seulement les choix effectués par le dirigeant se sont révélés désastreux pour la banque d’affaires et ses actionnaires, mais aussi, et surtout, ils ont eu des conséquences catastrophiques pour les acteurs de l’ensemble de la planète. En raison du séisme financier qui a suivi la cessation de paiement de Lehman-Brothers, tous les acteurs économiques à travers le globe ont perçu les contrecoups de cette faillite. Certes, les conséquences dramatiques s’expliquent aussi par les erreurs de jugement des autorités monétaires et de contrôle qui n’ont pas clairement appréhendé la complexité des liens unissant les opérateurs des marchés financiers au financement de l’économie réelle, mais le fait déclencheur est la prise de décisions risquées par un dirigeant d’entreprise qui a limité son horizon aux seuls acteurs qui étaient représentés à son conseil d’administration. Dès qu’une fraction des conséquences est supportée par d’autres acteurs non représentés dans le processus de prise de décision, il existe des facteurs d’externalité qui viennent impacter l’optimalité des décisions prises (les gains sont privatisés par les investisseurs courttermistes ou les dirigeants, et les pertes sont assumées par la collectivité). Le même constat a pu être fait à propos des financements accordés par la BNP à des pays frappés d’embargos par les États-Unis. À court terme, les dirigeants de la BNP ont bénéficié de ces financements pour afficher une performance financière élevée et les investisseurs court-termistes ont maximisé les rentabilités affichées. À long terme, le coût des sanctions est supporté par les actionnaires durables, les employés et les clients (sous forme d’une augmentation des frais de tenue de compte). Deux intérêts étaient en réalité partagés par la plupart des autres employés opérant sur les marchés financiers.

1.3. Le développement des processus automatisés Si la relation humaine est une source majeure d’écart entre l’intention initiale (l’objectif poursuivi) et les actions réalisées, l’automatisation de nombreux processus, et en particulier le transfert informatique de données, contribue également à accroître l’écart entre l’intention initiale et sa réalisation. Ce résultat est apparemment paradoxal

puisque l’automatisation vise à réduire les interférences et les possibilités d’erreurs humaines. Cet impact sur le contrôle interne s’explique par l’amplification que permet l’automatisation. Une décision initiale peut, grâce au transfert automatique des données, avoir des conséquences immédiates et généralisées que le décideur n’a pas réellement envisagées. Le temps de la réflexion, de la mise en œuvre, échappe au décideur qui se trouve entraîné dans les processus parfois inexorables qu’il a lui-même déclenchés. Mais, plus concrètement, les nouvelles technologies de l’information et de la communication (NTIC) modifient également les modes de travail. Elles remettent en cause des procédures de contrôle interne auparavant considérées comme acquises ; elles introduisent une évolution du coût des transactions, ce qui modifie le rapport entre l’entreprise et le marché, entre les activités nécessitant une coordination hiérarchique et celles pouvant se résoudre par une transaction marchande ; enfin, elles introduisent une interdépendance informationnelle entre entreprises juridiquement distinctes.

1.3.1. Le développement du travail par projet et non plus par fonction Dans une entreprise, la supervision hiérarchique permet, par délégation hiérarchique successive, de s’assurer que, directement et indirectement, le dirigeant contrôle la totalité des tâches qui sont effectuées au sein de son entreprise. L’avènement du travail par projet (graphique 1.1), qui repose sur la mise en place de groupes de travail horizontaux, c’est-à-dire constitués de salariés issus de directions hiérarchiques distinctes, pose de manière aiguë le problème du contrôle par la direction de la totalité des tâches réalisées par les salariés détachés.

Graphique 1.1 NTIC (Nouvelles Technologies de l’Information et de la Communication) et procédures de contrôle interne

L’évolution des procédures de contrôle interne peut passer par la création d’une supervision hiérarchique spécifique, ou par la mise en place d’un service central assurant de façon précise et détaillée le suivi des tâches des salariés détachés de leur direction hiérarchique habituelle18.

1.3.2. L’automatisation des procédures de transfert de données Le transfert automatique des données permet une saisie unique des informations et leur basculement dans les systèmes d’information en fonction des besoins (exprimés par des procédures). Ainsi, un commercial d’une grande entreprise peut saisir directement sur son terminal les détails d’une commande client. Cette dernière est envoyée, par le biais d’un réseau sécurisé, vers le site central de l’entreprise où le directeur commercial valide la commande. Cette validation déclenche les ordres d’approvisionnement et de production, qui eux-mêmes entraînent la mise à jour des inventaires permanents de stocks et en-cours. Après la production, la validation de l’expédition (éventuellement par la lecture d’un code optique) déclenche l’émission de la facture et l’enregistrement comptable des opérations. Dans de telles procédures, le contrôle humain se limite à la validation des transactions. De surcroît, le rôle traditionnel de contrôle des services

comptables se trouve modifié puisqu’une part significative des transactions (parfois la quasi-totalité) donne lieu à un enregistrement comptable sans qu’il n’y ait de saisie comptable effective. Le principe de séparation des tâches est également court-circuité quand des données d’un service sont directement modifiées par la saisie ou la validation réalisée par un autre service. C’est en particulier le cas du service comptable, pour lequel les opérations liées à la paie du personnel, ou à la gestion des stocks d’en-cours, de marchandises ou de produits finis, découlent des opérations effectuées par les personnels de ces différents services. Avec l’essor des transferts de données entre clients et fournisseurs se posent le problème du contrôle des données et, indirectement, celui du contrôle de l’entreprise. Une société peut économiser des ressources comptables en important des données (factures, mouvements de trésorerie, etc.) de partenaires extérieurs (fournisseurs, clients, banques, etc.). Mais la société devient alors vulnérable aux erreurs (intentionnelles ou non) qui se produiraient dans les systèmes d’information de ses partenaires. Il est donc nécessaire de repenser l’ensemble des procédures de contrôle interne, afin d’identifier des points de passage obligés ainsi que des zones de contrôle sensibles.

2. Le rôle du contrôle interne Le contrôle interne a un triple rôle : • contrôler la transmission de l’information : s’assurer que les décisions prises sont correctement appliquées ; • contrôler la qualité du produit : garantir un niveau minimum de qualité à la prestation effectuée ou au bien fabriqué ; • contrôler le fonctionnement des processus et de l’entreprise : déceler les principales anomalies de fonctionnement et éventuellement prévoir des procédures de résolution des dysfonctionnements.

2.1. S’assurer que les décisions prises sont correctement appliquées Les dirigeants prennent des décisions pour assurer la pérennité et le développement de l’entreprise. Les salariés exécutent des tâches, coordonnent des activités ou des services, supervisent d’autres salariés. Mais leur environnement est fréquemment différent de celui des dirigeants, particulièrement dans les grandes entreprises. Les employés peuvent prendre des décisions ou effectuer des actions cohérentes avec leur

environnement local, mais en contradiction avec les directives émanant des dirigeants de l’entreprise. Le contrôle interne permet de s’assurer qu’il existe une certaine cohésion entre la stratégie conçue par les dirigeants et la réalité des actions effectuées par les employés. Il permet de vérifier que la coordination hiérarchique, formelle et informelle, fonctionne correctement et assure une coordination efficace entre les individus. Il garantit que les salariés, qui représentent l’entreprise vis-à-vis de l’extérieur, agissent dans l’intérêt de l’entreprise et mettent en œuvre les décisions prises par les dirigeants.

2.1.1. L’entreprise est une communauté d’individus liés par un contrat de travail et coordonnés par des relations formelles et informelles Chaque entreprise est caractérisée par les individus qui la composent et par les réseaux qui les unissent. Le pouvoir hiérarchique est le premier mécanisme de coordination des salariés. Les relations qui unissent les employés d’un même service sont tout à la fois formelles quand il s’agit de la répartition des tâches et de la coordination des travaux à effectuer et informelles quand il s’agit de menus services que les employés peuvent se rendre entre eux.

Encadré 1.6 La coordination Dans un corps humain, les mouvements sont coordonnés par la tête sans qu’il soit nécessaire de faire un effort particulier. Au sein d’une entreprise, la coordination n’est pas aussi harmonieuse puisque chaque individu poursuit des objectifs qui lui sont propres et qui peuvent être en contradiction avec ceux de l’entreprise. Il est donc nécessaire de prévoir des procédures pour que chacun des membres de l’entreprise agisse de façon concordante. On appelle relations informelles, les relations qui ne font pas l’objet d’une mention explicite et qui ne se prêtent pas à une description précise. La coordination formelle régit les rapports fréquents et aisément identifiables. À l’inverse, les relations informelles sont vitales pour l’entreprise pour gérer les situations spécifiques exigeant une réponse particulière et faisant appel à des compétences disséminées. La coordination informelle est souvent susceptible d’entrer en conflit avec la

coordination hiérarchique. Pour assurer la pérennité de l’entreprise, la coordination hiérarchique doit conserver la primauté. Mais elle présente des lourdeurs d’autant plus importantes que les problèmes à résoudre nécessitent des relations transversales étendues. En effet, le principe de coordination hiérarchique entre deux individus appartenant à des services différents suppose que l’on remonte le long de la chaîne hiérarchique jusqu’à ce que l’on soit en présence du plus petit responsable hiérarchique commun aux deux employés. Dans certains cas, pour des problèmes mineurs, ce système aboutit au PDG qui constitue l’ultime recours pour résoudre les problèmes de coordination entre services. Le principal risque des relations informelles, en termes de contrôle interne, est le dévoiement des procédures de décision ou de mise en application des décisions. Dans de nombreuses entreprises, des employés exercent un pouvoir nettement supérieur à celui qui va de pair avec leur statut hiérarchique19. Ce pouvoir résulte, soit de relations informelles fortes nouées avec d’autres employés de l’entreprise ou avec des tiers externes à l’entreprise, soit d’une compétence vitale pour l’entreprise. Un des objets du contrôle interne est de fixer des frontières au pouvoir informel que détiennent les employés. Les solutions passent par la désignation de responsables chargés de gérer les relations transversales (processus dénommé gestion de projets), par le rattachement direct des employés indispensables à un échelon hiérarchique supérieur, ou par la décision de se passer des individus considérés comme indispensables20.

2.1.2. Les dirigeants décident, les salariés mettent en œuvre L’élaboration de la stratégie de l’entreprise suppose la définition des objectifs à atteindre. Cette définition incombe au conseil d’administration, en tant que représentant des actionnaires, ou aux associés. Mais, une fois les objectifs arrêtés, ce sont les dirigeants qui conçoivent la stratégie pour les atteindre. Pour être appliquée, une stratégie doit respecter la cohérence de l’organisation. Ceci implique que les éléments de la stratégie concernant un service particulier soient effectivement transmis, et que l’action des différents services soit coordonnée. Mais, pour pouvoir faire évoluer la stratégie dans le temps, il est également nécessaire de disposer d’une remontée des informations. Une stratégie tient compte de l’ensemble des informations disponibles tant internes qu’externes. Au fur et à mesure que la stratégie est mise en place et qu’elle donne lieu aux actions définies, les informations se précisent et d’autres informations apparaissent. Le rôle du contrôle interne est non seulement de s’assurer que la stratégie définie est mise en œuvre, mais également que les informations stratégiques remontent à la direction générale ; que les informations stratégiques témoignent d’une déviance dans la

réalisation de la stratégie par rapport à la stratégie initialement prévue ou d’une inadaptation de la stratégie à l’environnement local. Ce contrôle de la remontée de l’information est essentiel, car les acteurs locaux n’ont pas nécessairement intérêt à ce que toute l’information remonte (elle pourrait faire apparaître leur difficulté à agir dans un environnement complexe, ou leur difficulté à mettre en œuvre une stratégie inadaptée à l’environnement local) et ils n’ont pas nécessairement conscience des informations pertinentes pour la direction générale. Une information jugée connue de tous à un niveau local ne sera pas nécessairement transmise à l’échelon hiérarchique supérieur, car elle est supposée évidente ; à l’inverse, une information jugée localement accessoire sera peut-être ignorée. Dans les deux cas, les employés filtrent l’information transmise à leur hiérarchie. Le rôle du contrôle interne est de s’assurer que ce filtre ne conduit pas à l’omission de la transmission d’informations critiques. Inversement, le contrôle interne doit également s’assurer que la direction générale n’est pas noyée sous une masse d’informations qui lui rend difficile l’appréhension de l’information critique.

2.1.3. Vis-à-vis de l’extérieur, l’entreprise est considérée comme un tout Pour les tiers, l’entreprise est une personne morale avec ses caractéristiques (son activité, sa taille, son implantation géographique...) et sa personnalité (sa culture d’entreprise). Quand un tiers est en relation commerciale avec une entreprise, il ne s’intéresse que marginalement à la manière dont elle fonctionne. S’il s’agit d’un client, il va souhaiter obtenir le produit qu’il recherche au prix négocié. S’il s’agit d’un fournisseur, il va essayer de placer son produit au prix attendu. Dans les deux cas, bien que le tiers négocie avec un salarié de l’entreprise (le vendeur ou l’acheteur), c’est en fait avec l’entreprise qu’il négocie, et le salarié n’est théoriquement qu’un rouage.

Graphique 1.2 L’entreprise, une personne morale composée d’employés liés à l’entreprise par un contrat de travail

Pour le tiers qui contracte avec une entreprise par le biais de l’un de ses salariés, il existe un postulat implicite selon lequel les décisions prises par le salarié vis-à-vis de l’extérieur, non seulement engagent la société, mais également sont effectuées en accord avec la direction de l’entreprise. Or, ce postulat n’a rien d’évident. Pour être vérifié, il exige que l’organisation dispose d’une chaîne de procédures ou de contrôles reliant le salarié à ses dirigeants. Si cette fiction de la personnalité morale de l’entreprise a un sens vis-à-vis des tiers externes, il n’en est pas de même en interne. Le contrôle interne vise donc à s’assurer que les actes qui engagent l’entreprise vis-à-vis de l’extérieur sont conformes à la stratégie et à la déontologie de l’entreprise. Cela peut passer par des contrôles hiérarchiques, par des procédures définissant des seuils maximaux d’engagement, par des systèmes incitatifs ou punitifs (impliquant des conséquences monétaires pour le salarié des décisions qu’il a prises vis-à-vis des tiers).

2.2. Garantir un niveau minimum de qualité à la prestation effectuée ou au produit fabriqué Pour garantir un certain niveau de qualité, le contrôle le plus simple consiste à observer le produit réalisé pour s’assurer qu’il couvre les besoins préalablement identifiés. Cette approche contient le risque d’incorporer de la valeur ajoutée et du travail dans un produit qui, in fine, sera considéré comme inadapté et qui sera rejeté. Une seconde approche est donc possible, qui repose sur le contrôle qualité du processus de fabrication, pour s’assurer à tout moment, au long du cycle de production, de l’adéquation du produit au besoin pré-identifié.

2.2.1. Le contrôle qualité a posteriori Pour définir la qualité, il est nécessaire au préalable d’identifier les besoins à satisfaire. Un produit se définit par ses caractéristiques et par son adéquation aux besoins qu’il est censé couvrir21. Avant de mettre un produit sur le marché, toute

entreprise vérifie la conformité (au moins partielle) du produit. Le client exerçant naturellement un contrôle de conformité du produit lors de sa consommation, un défaut dû à l’absence de contrôle qualité se traduira par une méfiance du consommateur vis-àvis de l’entreprise et, éventuellement, par le recours à la concurrence et par des pertes de part de marché pour l’entreprise. Dans les relations entre entreprises industrielles, le contrôle qualité est quasi systématiquement exigé et formalisé par la fixation de tolérances. Les caractéristiques du produit sont définies et le client prévoit un intervalle d’acceptabilité pour chacune des caractéristiques. Dans une approche a posteriori, le contrôle qualité est limité, il vise à s’assurer que les produits livrés (ou les prestations effectuées) sont conformes au cahier des charges pour réduire les risques de contentieux ultérieurs. On est donc dans une logique d’arbitrage entre des coûts : d’un côté, le coût du contrôle qualité, de l’autre, le coût des contentieux ou des pertes de clients. Sachant que les clients mécontents ne le font pas nécessairement savoir, il est fréquent de sous-évaluer les coûts de la non-qualité et d’arbitrer en faveur d’une réduction des coûts de contrôle interne pour augmenter la profitabilité immédiate des produits. Bien entendu, cette stratégie s’avère désastreuse à moyen et long terme puisque la confiance qui a été perdue est très difficile à reconstituer.

Encadré 1.7 La qualité, un concept flou La qualité d’un produit est une notion abstraite qui ne peut faire l’objet d’une définition que par rapport à des besoins nettement définis. Les défauts d’un produit peuvent être un atout ou un handicap pour la vente d’un produit. La publicité pour les produits artisanaux insiste fréquemment sur le fait qu’ils sont tous différents. Les petites imperfections du produit constituent un argument de vente. À l’inverse, dans les productions en série, les imperfections peuvent être très coûteuses. Pour les arts de la table, la résolution économique du problème des imperfections passe par le classement de la vaisselle en première, deuxième ou troisième catégorie selon la présence ou l’absence de défauts. Dans l’aéronautique et l’automobile, les pièces présentant des imperfections (des écarts à la norme) supérieures aux tolérances sont rejetées.

2.2.2. Le contrôle qualité des processus de fabrication Dans une recherche de la qualité des processus, les procédures de contrôle interne ont pour objet de prévenir les imperfections ou de les détecter suffisamment tôt pour éviter que l’entreprise ne continue à incorporer de la valeur ajoutée dans des produits non conformes. Un produit se caractérise par deux éléments : la rareté des matières consommées et la quantité de travail humain, direct ou indirect, incluses dans le produit. Un produit non conforme est d’autant plus coûteux pour l’entreprise, que cette non-conformité aura été décelée tardivement dans le processus de production et qu’elle est difficilement réversible. La capacité à déceler le plus tôt possible les anomalies de production constitue pour l’entreprise un enjeu majeur.

Encadré 1.8 Le coût de l’absence de contrôle Une forge fabrique des pièces en alliage destinées aux systèmes d’antiblocage des roues en cas de freinage brutal (systèmes baptisés ABS). En supposant que le prix d’une pièce comprenne 20 % de matières, 40 % de main d’œuvre de production et de temps machine et 40 % de frais indirects (répartis au prorata sur le processus de production), une défaillance de la qualité de l’alliage utilisé, qui représente 20 % du coût total, pourra entraîner un coût cinq fois supérieur au coût de la matière si les défauts de l’alliage ne sont appréhendés qu’à l’issue du processus de production. Pour le constructeur automobile, le prix unitaire d’achat de cette pièce représente moins de 1 pour 1 000 du coût de production total du véhicule. Mais, en cas de défaillance de cette pièce, par exemple, à la suite d’un freinage brutal où le système ABS n’aurait pas fonctionné, non seulement le constructeur devra indemniser la victime, mais, en plus, il devra rappeler l’ensemble des véhicules ayant reçu des pièces de la même provenance (d’où l’importance de la traçabilité, cf. ci-après) pour y effectuer des contrôles supplémentaires et remplacer les pièces présentant un risque. Les pièces non conformes peuvent être mises au rebut ou retouchées. Dans le premier

cas, les coûts de non-qualité sont les coûts complets de production de la pièce rebutée. Dans le second cas, les coûts de non-qualité sont les coûts de retouche et de correction. Outre la perte de temps due aux retouches et corrections, il faut tenir compte du temps de supervision du responsable du service et des coûts de traitement des informations liées au suivi des produits non conformes.

Encadré 1.9 Le contrôle qualité comme facteur intégré au processus Dans le cas des pièces forgées, le contrôle qualité se faisait à la fin du processus de fabrication, et consistait, sur la base d’un échantillonnage statistique, à prélever une pièce toutes les X pièces et à effectuer des contrôles approfondis pour vérifier la conformité de la pièce aux caractéristiques exigées par le client. De plus, toutes les pièces d’une série faisaient l’objet d’un contrôle visuel systématique pour s’assurer qu’elles ne présentaient pas de défaut apparent, notamment au niveau de la finition et des cotes (les dimensions de la pièce) à respecter. Les pièces non conformes étaient retouchées si cela était possible, sinon elles partaient au rebut. Lors du contrôle par échantillonnage, si la pièce était non conforme, d’autres pièces de la même série étaient prélevées pour faire l’objet d’une analyse complémentaire et, en fonction de la gravité des défauts relevés, le directeur d’usine décidait des solutions à adopter. Pour éviter de relancer une nouvelle série de production en cas de pièces non conformes, les productions étaient lancées en surnombre par rapport aux quantités commandées. Depuis le milieu des années quatre-vingt, les grands groupes industriels veulent une conformité plus stricte aux normes édictées, tant en matière de dimensions que de caractéristiques internes de la pièce : résistance à l’usure, capacité de déformation aux chocs thermiques ou mécaniques... Les coûts liés au contrôle et aux retouches des pièces se sont élevés alors que les coûts de production en série se sont abaissés. Pour répondre à ces nouvelles exigences, l’entreprise doit non seulement améliorer ses processus de fabrication, mais elle doit également renforcer les contrôles aux différents niveaux de son cycle de

production. 2.2.3. Le concept de traçabilité La traçabilité est un concept qui vise à pouvoir remonter d’un produit fini à son origine de production, en détaillant les différentes opérations ayant affecté le produit. Comptablement, la traçabilité permet, à partir d’un solde de compte figurant au bilan ou au compte de résultat, de retrouver l’ensemble des informations élémentaires expliquant les chiffres mentionnés. Le solde de chaque compte est décomposable en écritures élémentaires, correspondant chacune à une facture ou à un document justificatif. Ces documents doivent être conservés et classés (éventuellement sous forme numérique) pour pouvoir justifier la nature et la réalité de la transaction. La traçabilité consiste également, à partir d’une information comptable élémentaire (une facture, un règlement), à retrouver les comptes de résultat ou de bilan ayant été mouvementés. Ce concept est fondamental dans les entreprises industrielles, mais également dans les entreprises financières. La lutte contre le blanchiment de l’argent de la drogue suppose que les mouvements de fonds puissent être identifiés et qu’il soit possible de remonter, d’un côté au bénéficiaire et, de l’autre, au fait générateur, c’est-àdire à la réalité de la prestation de service ou de la livraison de biens.

2.3. Déceler les anomalies de fonctionnement22 Une anomalie de fonctionnement correspond à un élément qui ne remplit qu’imparfaitement le rôle qui lui est assigné. Par exemple, une machine qui ne découpe pas les pièces à la taille spécifiée, un employé qui n’effectue pas les tâches qui lui incombent... Le contrôle interne permet de déceler le plus tôt possible ces anomalies de fonctionnement, qu’elles soient occasionnelles ou systématiques. En effet, ces anomalies ont un coût pour l’entreprise. Ce coût peut être apparent ou caché. Parfois, il peut être supporté par un tiers, auquel cas il peut se traduire par des pertes de marché ou des litiges ; parfois, il se traduit par des pertes de trésorerie. Pour être efficace, le contrôle interne doit comprendre des systèmes de collecte de l’information sur les dysfonctionnements possibles et sur les contrôles périodiques mis en place. Il doit être formalisé.

2.3.1. Présentation d’une anomalie de fonctionnement Les anomalies de fonctionnement sont occasionnelles ou systématiques. Les anomalies occasionnelles sont typiquement les erreurs humaines liées à la saisie d’une information ou à la réalisation d’une opération. Elles sont relativement fréquentes en cas d’opérations répétitives. Le développement de l’informatique a permis de réduire

fortement ce type d’erreurs par la mise en place de contrôles instantanés. Par exemple, lors de la saisie d’une écriture comptable, le système refuse d’enregistrer l’écriture tant qu’il n’y a pas une égalité débit/crédit. De même, pour la saisie des factures, l’opérateur tape le montant hors taxe, le code TVA (taux normal, réduit, exonération) et le montant TTC (toutes taxes comprises). L’ordinateur indique un message d’alerte si l’écart entre le hors taxe et le TTC ne correspond pas à la TVA théorique calculée par l’ordinateur sur le montant hors taxe. Dans les ateliers de production de biens, une erreur occasionnelle peut être un boulon insuffisamment serré, un bouchon de vidange d’huile moteur mal revissé, une couche de peinture non homogène... De plus en plus, les ateliers sont équipés de capteurs et de testeurs validant systématiquement certaines opérations élémentaires cruciales pour la qualité des produits. Les anomalies systématiques sont habituellement des erreurs liées à un processus d’automatisation. Elles peuvent aussi être dues à des erreurs humaines, notamment en cas d’inadaptation d’un employé à une tâche spécifique. Dans le cas d’automatismes, les erreurs systématiques sont des erreurs de programmation, des erreurs de conception, ou des erreurs dues à un dérèglement des automatismes23.

Encadré 1.10 Exemples d’anomalies systématiques (a) Un magasin de distribution de produits alimentaires établit des factures dont la TVA est quasi systématiquement erronée de quelques centimes par défaut. (b) Lors de leur mise sur le marché, des chercheurs américains ont constaté que, pour certains calculs dans un environnement déterminé, les puces Pentium fournissaient des résultats erronés, car, à partir d’un grand nombre de décimales, ces puces utilisent un nombre arrondi pour effectuer certaines opérations. L’emploi de personnes ayant une qualification insuffisante et une mauvaise compréhension du système d’information ou du système de production peut conduire à des erreurs systématiques. Un opérateur peut effectuer systématiquement une manœuvre à contretemps, ou une opératrice de saisie peut enregistrer un certain type de transactions en sens inverse. Dans ce cas, l’erreur provient d’une routine humaine mal comprise ou mal apprise en raison de compétences insuffisantes ou de l’absence de formation.

2.3.2. Conséquences d’une anomalie de fonctionnement Les conséquences d’une anomalie de fonctionnement sont multiples, elles peuvent être bénignes, tout comme elles peuvent être dramatiques. Les anomalies de fonctionnement bénignes évoluent fréquemment vers des anomalies plus lourdes si elles ne sont pas appréhendées et corrigées. Dans la majorité des cas, les anomalies de fonctionnement ne se traduisent pas directement sur le compte de résultat24, car, soit les anomalies sont résolues en interne, soit elles se traduisent par une moins grande efficacité et par un manque à gagner. Quand les anomalies de fonctionnement sont ignorées, elles conduisent l’entreprise à surconsommer (c’est-à-dire à maintenir un niveau de charges plus élevé que nécessaire), que ce soit des ressources consommées par les activités directes de production (une forme de gaspillage) ou des ressources liées aux activités de réparation et de correction (nécessaires pour corriger les conséquences des gaspillages). Les anomalies de fonctionnement peuvent aussi se traduire par une réduction de la capacité de production ou de livraison de l’entreprise et par un chiffre d’affaires inférieur à ce qui aurait été possible en l’absence de dysfonctionnement. Si les anomalies de fonctionnement n’ont pas nécessairement un impact direct sur le compte de résultat, elles se traduisent toujours par une moindre efficience de l’entreprise et par une profitabilité plus faible. Parfois, les anomalies de fonctionnement n’entraînent pas de coût immédiat pour l’entreprise, car elles sont externalisées et supportées par le client25.

2.3.3. Mécanismes de détection des anomalies Dans toute entreprise, le contrôle interne doit déceler les erreurs ou événements susceptibles d’affaiblir l’organisation ou de remettre en cause sa pérennité et sa capacité à accomplir ses objectifs. Cela passe par des signaux d’alerte et par la formalisation des processus. Les systèmes d’information doivent signaler à l’opérateur les anomalies de fonctionnement au moment où elles se déclenchent ou lorsqu’elles atteignent un seuil critique. Ainsi, la jauge de carburant d’une automobile indique en permanence au conducteur la quantité approximative de carburant disponible, et un clignotant s’allume quand il reste moins de 10 % de carburant. De même, un capteur peut émettre un signal sonore quand le réglage d’une machine de production n’est plus conforme aux tolérances saisies informatiquement. La formalisation des processus consiste à décrire les tâches à effectuer et les règles à respecter pour effectuer les diverses opérations qui structurent l’activité de l’entreprise. Cela passe non seulement par la formalisation globale des processus, mais également

par la documentation sur les différentes ressources consommées ou utilisées pour la réalisation des processus. Le contrôle interne va ainsi s’assurer de l’existence des notices d’utilisation des machines ou des logiciels (éventuellement sous forme vidéo à travers la réalisation de documentaires décrivant les gestes à effectuer et les procédures à respecter26), de la rédaction de manuels de procédures pour la réalisation des inventaires, ou de procédures fixant les règles d’engagement des employés ayant le pouvoir d’effectuer des mouvements de trésorerie.

2.4. L’identification des sources d’erreurs Pour être aisément réalisée et facilement contrôlable, une tâche doit être définie et exécutée de façon simple. Souvent, les personnes ne recherchent pas cette simplicité. Pour asseoir son pouvoir ou son autorité, on peut être tenté de faire des choses compliquées que l’entourage n’est pas capable de reproduire. On se rend ainsi indispensable et l’on met en avant sa compétence. Une tâche n’a de raison d’être que si elle répond à un besoin dans l’entreprise. Un bon contrôle interne ne vise pas à multiplier les contrôles, mais à définir et faire appliquer les contrôles pertinents.

2.4.1. La recherche d’un contrôle adapté Le contrôle interne doit définir les risques à supprimer ou à réduire, puis il doit mettre en place la procédure de contrôle la plus adaptée, tant en matière de réduction du risque qu’en matière de facilité de réalisation et de coût du contrôle. La pertinence d’un contrôle se mesure au degré de couverture, ou de détection du risque d’erreur pour lequel il est défini. Mieux vaut un contrôle bien pensé, et bien fait, qui couvre 98 % des risques d’erreurs (auquel cas le risque résiduel d’erreur est de 2 %), que trois contrôles successifs qui n’en couvrent chacun que 50 % (auquel cas le risque résiduel d’erreur est de 12,5 % = 0,5 x 0,5 x 0,5). Dans le premier cas, l’entreprise sait quel est son risque résiduel, dans le second, elle se donne l’illusion de croire qu’elle a supprimé son risque d’erreur. La première étape de la mise en place d’un contrôle est de définir les risques et leurs conséquences. Ceci conduit fréquemment à redéfinir la tâche elle-même. Certaines erreurs n’en sont que par rapport à la définition de la tâche, elles n’ont pour l’entreprise aucune conséquence préjudiciable. La seconde étape est de définir les objectifs du contrôle par rapport aux risques d’erreur à éliminer. Si le risque d’erreur est de payer plusieurs fois les mêmes factures, les objectifs du contrôle peuvent être décomposés : s’assurer qu’une charge ne peut être comptabilisée qu’une seule fois, vérifier qu’une facture ne peut être réglée que si elle a été comptabilisée.

La troisième étape est de déterminer les moyens à mettre en œuvre pour réaliser ce contrôle. Dans certains cas, les contrôles peuvent être automatisés (informatisés).

2.4.2. La matérialisation des contrôles effectués Le contrôle d’une tâche ne peut entraîner une amélioration que si l’on connaît l’auteur de la tâche. Dans le cas contraire, on peut observer a posteriori les erreurs et les corriger, mais on peut difficilement agir sur leur cause. L’identification des auteurs d’une transaction permet la responsabilisation de ses auteurs et leur implication dans le bon fonctionnement de l’organisation. Un contrôle n’est exploitable que si l’on dispose d’une mesure de son efficacité. Tout contrôle interne doit contenir une preuve de sa réalisation. Pour les contrôles humains, cela prend différentes formes : signature, visa, numérotation, date de traitement... Pour les contrôles automatiques, la confiance placée dans le mécanisme de contrôle réside dans le processus de conception et de test de l’automatisme. Le contrôle de l’égalité débit/crédit pour les écritures comptables provient de la programmation du logiciel comptable. L’indication d’une erreur de contrôle dans le cas d’un automatisme est beaucoup plus grave que dans le cas d’un contrôle humain. En effet, si un automatisme n’a pas fonctionné une fois, il est impossible d’en garantir son efficacité ultérieure, sauf à recontrôler la programmation. Dans le film « 2001, l’odyssée de l’espace », de Stanley Kubrick, le superordinateur présente une défaillance. S’agissant d’une erreur humaine, l’individu pourrait reconnaître son erreur et modifier son raisonnement ultérieur. S’agissant d’une erreur du cerveau informatique, elle remet en cause la fiabilité des informations fournies par l’ordinateur, car il est difficile d’identifier l’origine de cette défaillance. L’explosion de la fusée Ariane 5 lors de son tir de qualification en juin 1996 semble due à un problème informatique : le programme enregistrant le comportement de la fusée par rapport à sa trajectoire aurait fourni des informations erronées au système de pilotage de la fusée. Bien que les données à traiter soient trop complexes et s’accumulent trop rapidement pour pouvoir être traitées sans l’informatique, la réalisation d’un vol spatial suppose, lors de la programmation, la prise en compte d’un ensemble de facteurs environnementaux mouvants et aléatoires.

2.4.3. Le recentrage sur les activités créatrices de valeur À terme, la conséquence de la multiplication des activités est le recentrage de l’entreprise sur les activités où elle détient un avantage concurrentiel et où elle est susceptible de créer de la valeur pour ses actionnaires, ses salariés, ses clients et ses fournisseurs. En contrepartie, l’entreprise doit se poser deux questions : • Les procédures de contrôle interne permettent-elles d’obtenir un avantage

concurrentiel par rapport au marché pour les activités conservées ? • Les procédures de contrôle interne permettent-elles de fiabiliser les transferts de données issues des entreprises partenaires assurant pour le compte de l’entreprise des prestations vitales (par exemple, si l’entreprise a décidé d’externaliser sa fonction comptable en la confiant à un cabinet d’expertise comptable) ?

3. La responsabilité du contrôle interne Les dirigeants sont nommés par les actionnaires, ou par leurs représentants, pour gérer l’entreprise27. Ils sont également responsables de l’enregistrement des informations comptables et de la présentation des états financiers annuels. En pratique, la gestion quotidienne de l’entreprise et le suivi comptable des informations sont le plus souvent délégués par les dirigeants à des collaborateurs. Les dirigeants exercent leur responsabilité en instituant des contrôles pour s’assurer que le travail est effectué correctement. Ils peuvent ainsi s’appuyer sur le système de contrôle interne pour garantir la fiabilité de la production des comptes annuels et des informations de gestion, et pour prévenir les risques d’erreurs ou de fraudes ainsi que les risques de disparition d’éléments de l’actif de l’entreprise.

3.1. Les caractéristiques des entreprises par rapport au marché Le contrôle interne apparaît comme un facteur essentiel de la distinction entre le marché et l’entreprise28. En effet, la spécificité de l’entreprise est d’autoriser une allocation et un suivi de ses ressources qui ne reposent pas (ou pas uniquement) sur un système de prix relatifs. Derrière l’allocation hiérarchique des ressources se trouve en effet tout un système de contrôle interne qui assure la réalité des décisions prises par les dirigeants.

3.1.1. Le contrôle interne, caractéristique des organisations Sur le marché, les transactions sont coordonnées par le mécanisme de l’équilibre de l’offre et de la demande à travers la détermination du prix de la transaction. Dans l’entreprise, les transactions sont coordonnées par la voie hiérarchique. Sur le marché, les coûts liés à la transaction sont donc ceux liés aux mécanismes d’information des acheteurs et des vendeurs ; alors que, dans l’entreprise, les coûts de transaction sont liés aux procédures de décision et de contrôle interne. D’un point de vue économique, le lieu de réalisation d’une transaction dépend de l’arbitrage entre le coût de réalisation de la transaction sur le marché et celui de sa réalisation au sein d’une organisation (graphique 1.3). De nombreux auteurs (à la suite

notamment d’Oliver Williamson29) ont étudié les facteurs susceptibles d’expliquer le recours à l’entreprise plutôt qu’au marché, en fonction des caractéristiques des transactions réalisées. Trois principaux aspects des transactions ont été relevés : • la spécificité des actifs : quand des actifs inclus dans une transaction sont difficilement réutilisables dans un usage alternatif, ils sont dits « spécifiques » à cette transaction. Si la transaction se déroule mal, les propriétaires de ces actifs spécifiques auront des difficultés à leur trouver un autre usage. Par conséquent, plus la spécificité des actifs augmente, plus le propriétaire est vulnérable au comportement opportuniste de son partenaire ou à une évolution défavorable de l’environnement qui conditionne le déroulement de la transaction. Par exemple, il est fréquent que les constructeurs automobiles demandent à leurs sous-traitants d’implanter leurs usines à proximité de leurs propres usines d’assemblage pour minimiser les coûts de transport et favoriser la production en flux tendus. Une des conséquences de ces choix stratégiques est l’accroissement de la spécificité des actifs des sous-traitants, notamment si l’usine du constructeur automobile se trouve isolée des usines des autres constructeurs30. Pour que la transaction puisse se réaliser sur le marché, l’investisseur demandera des garanties préalables pour consentir à investir dans de tels actifs ; • l’incertitude sur le déroulement de la transaction : les facteurs environnementaux ou comportementaux sont difficiles à appréhender et le comportement futur des partenaires impliqués dans la transaction peut être amené à évoluer. Plus les transactions se déroulent dans la durée et plus ce degré d’incertitude augmente. En effet, tant l’environnement économique et naturel que les relations interpersonnelles sont susceptibles de fluctuer dans le temps. Une confiance initiale entre une entreprise et son client peut être due aux relations personnelles qui unissent leurs dirigeants respectifs. Quand ces derniers cessent leurs fonctions, cette confiance peut parfois disparaître brutalement ; • la fréquence de la transaction : si la transaction est appelée à se renouveler, les parties peuvent avoir intérêt à s’engager dans une relation contractuelle de long terme afin d’éviter les coûts liés à la renégociation de chaque transaction.

Graphique 1.3 Les coûts de transaction et le contrôle interne

L’entreprise est préférée au marché quand elle permet de réaliser des transactions à un coût moindre ; ce qui dans le graphique 1.3 s‘écrit C4+C5 < C’’1+C’2+C3, avec : • C1 + C’1 ≤ C’’1 : le coût d’information sur le marché est d’autant plus faible qu’il n’y a pas d’incertitude et que les actifs sont non spécifiques ; • et C2 ≤ C’2 : le coût de rédaction, de négociation et de garantie des contrats est d‘autant plus faible que l’incertitude est elle-même faible. L’arbitrage entre l’internalisation et l’externalisation des transactions dépend en majeure partie du montant des coûts de transactions et de la capacité de l’organisation à maîtriser ses coûts de contrôle interne (C4 et C5).

3.1.2. La diversité des activités des organisations La diversité des activités résulte de la technologie utilisée, de l’usage du produit, et de la clientèle desservie. Compte tenu de la diversité des connaissances nécessaires31, le dirigeant peut difficilement maîtriser l’ensemble des processus, il doit déléguer des responsabilités opérationnelles. Quand une entreprise satisfait par ses produits ou par ses services des usages très différents, le risque principal est la perte de cohésion de l’ensemble. Le contrôle interne assure alors le bon fonctionnement des mécanismes de coordination et d’information. De même, la diversité de la clientèle suppose des modes

de contrôle adaptés. Le risque majeur lié à un client appartenant à un groupe international est qu’une insatisfaction sur la non-conformité d’un produit se traduise par la perte de l’ensemble des contrats avec le groupe. Inversement, le risque majeur avec des clients personnes physiques est le non-paiement et la non-recouvrabilité de la créance.

Encadré 1.11 L’arbitrage entre coûts et marge Une entreprise de production de poteaux vend une partie de sa production à une clientèle locale. Pour cette clientèle, le prix facturé correspond au prix catalogue. Pour les clients importants (dans les travaux publics), l’entreprise offre des remises très significatives. L’entreprise a décidé de sous-traiter la vente aux particuliers à une entreprise de distribution de matériel de bricolage et de matériaux. Le prix de vente aux particuliers est resté identique. La marge de distribution est donc passée du producteur au distributeur. L’analyse économique du producteur a consisté à comparer ses coûts de distribution aux particuliers avec la marge supplémentaire obtenue. En effet, l’entreprise ne disposait pas des processus (en matériel et en personnel) pour traiter efficacement les petites ventes. À l’inverse, le magasin de distribution est équipé pour traiter rapidement les petits achats et résoudre les conflits éventuels avec les consommateurs. 3.1.3. La pluralité des compétences Dans les grandes entreprises, la spécialisation des individus et des fonctions est plus importante que dans les petites organisations, ce qui entraîne des besoins de coordination supplémentaires. La spécialisation des individus croît généralement avec la taille de l’unité de production. Elle dépend également de l’activité de l’entreprise et du besoin de compétences spécifiques pour fournir le produit demandé. Le recours à des réseaux externes permet de remplacer une partie du contrôle interne par une formalisation contractuelle des relations entre activités ou services complémentaires. Dans certains secteurs d’activité (par exemple le conseil aux entreprises), on observe la juxtaposition de structures intégrées nécessitant des contrôles internes forts, mais disposant de compétences internes multiples, et de structures éclatées correspondant à des réseaux de professionnels spécialisés indépendants.

3.2. La relation d’agence entre le PDG et ses mandants En matière de fiabilité des flux d’information, la nature et l’étendue du système de contrôle interne dépendent de l’activité ainsi que de la nature, de la taille et du volume des transactions. Mais elles dépendent également du degré de contrôle exercé par les dirigeants, de l’implantation géographique et de nombreux autres facteurs.

3.2.1. La séparation des fonctions de propriété, contrôle et direction Dans les PME où le chef d’entreprise est propriétaire, dirigeant et parfois agent de production, le contrôle interne est généralement informel. Une majeure partie du contrôle interne est liée à la présence du dirigeant. Le dirigeant étant là, l’absentéisme est faible, le contrôle du travail effectué est immédiat, les tiers ont affaire directement au dirigeant qui détient seul la signature du compte bancaire, etc. Néanmoins, des contrôles doivent exister, notamment le suivi de la trésorerie, le respect des échéances fiscales et sociales, le suivi des comptes clients… Ces contrôles peuvent être internes (et parfois réalisés par le dirigeant lui-même ou par un membre de sa famille) ou ils peuvent être externalisés. C’est le cas quand l’entreprise recourt à un expert-comptable pour tenir ou surveiller sa comptabilité. Dans les sociétés plus importantes, les propriétaires peuvent être distincts du dirigeant. Cette distinction entraîne des coûts d’agence puisque le dirigeant agit non plus seulement en fonction de son intérêt propre, mais également en fonction de l’intérêt de ses actionnaires ou associés. Ces derniers lui confient le pouvoir de direction et le rendent responsable de l’administration de la société. La mise en place d’un système de contrôle interne remplit alors un double rôle : permettre au dirigeant d’exercer sa fonction de direction ; et réduire les coûts d’agence et le risque de mise en cause de la gestion et de la responsabilité du dirigeant32.

3.2.2. Les entreprises individuelles Dans les entreprises individuelles, les contraintes de contrôle interne vont en particulier peser sur la distinction entre les patrimoines privés et professionnels. En effet, les biens professionnels doivent être inscrits à l’actif de l’entreprise et ils doivent faire l’objet d’un suivi particulier, notamment pour leur dépréciation et leur cession. Dans d’autres domaines, les contraintes de contrôle interne sont au contraire très faibles. Ainsi, le financement de l’entreprise n’est soumis qu’aux contraintes économiques. Le dirigeant peut prélever autant d’argent qu’il le souhaite sur son entreprise. La seule contrepartie est la viabilité économique de son entreprise et les recours éventuellement exercés par les créanciers, notamment les banques, sur son patrimoine personnel.

La contrainte principale est l’information des tiers et, en particulier, des administrations fiscales et sociales. Bien que la législation impose la tenue d’une comptabilité pour les entreprises commerciales, l’incitation majeure est le risque de pénalités fiscales et sociales en l’absence de dépôt des déclarations relatives au chiffre d’affaires (pour la TVA) et aux résultats (pour l’imposition sur le revenu et le calcul des cotisations sociales de l’exploitant). Afin d’assurer une certaine fiabilité à ces documents comptables, servant de base à l’établissement des déclarations fiscales et sociales et servant aussi à obtenir des financements bancaires, le contrôle interne s’avère nécessaire pour s’assurer que toutes les factures et tous les mouvements de trésorerie ont bien été enregistrés. Globalement, la relative faiblesse de ces contraintes33 explique que les systèmes de contrôle interne soient peu développés au sein des entreprises individuelles. Le dirigeant a une incitation forte à veiller à ce que tout fonctionne bien, puisqu’il en est personnellement responsable et qu’il en subit directement toutes les conséquences34.

3.2.3. Les sociétés de personnes Dans les sociétés de personnes, la responsabilité financière des associés est indéfinie, ce qui renforce l’importance du contrôle interne, vital pour apprécier le risque que les associés supportent. La personnalité de chaque associé joue un rôle déterminant dans la constitution, le fonctionnement et la dissolution des sociétés de personnes. Les associés répondent indéfiniment et solidairement des dettes sociales. Par conséquent, les associés ont une incitation forte à s’assurer que l’entreprise fonctionne correctement et qu’il n’y a ni erreurs ni fraudes. Les associés étant impliqués dans le fonctionnement de l’entreprise, le système de contrôle interne sera fréquemment fondé sur les contrôles et la présence des associés. Il sera souvent peu formalisé.

3.2.4. Les sociétés de capitaux Dans les sociétés de capitaux, les actionnaires ont peu d’incitations à s’investir dans le contrôle du fonctionnement de l’entreprise. En effet, ils ne perçoivent qu’une fraction, proportionnelle à leur niveau de participation dans l’entreprise, des bénéfices liés à leur activité de contrôle. Toute activité de contrôle profite autant aux autres actionnaires demeurés passifs. La dispersion du capital rend plus problématique le contrôle direct des dirigeants puisqu’aucun actionnaire n’a réellement intérêt à assurer les coûts personnels de cette supervision pour le bénéfice de tous les actionnaires. C’est pourquoi la présence d’un actionnaire important permet parfois de renforcer l’efficacité du système de contrôle interne. En effet, cet actionnaire peut accepter de supporter les coûts de contrôle direct puisqu’en contrepartie il est davantage intéressé à la performance globale de l’entreprise. Généralement, les dirigeants donneront un compte-

rendu plus détaillé et plus fréquent de leurs actions en présence d’actionnaires significatifs prêts à s’investir dans le contrôle de l’entreprise.

3.2.5. Les associations Dans les associations, le degré de contrôle exercé par les adhérents dépend fortement de la nature de l’activité associative et de la taille de l’association. Si les adhérents sont fortement impliqués dans la structure associative (parce que leur bien-être en dépend ou parce que cela correspond à des choix personnels forts), il est vraisemblable qu’ils seront vigilants sur la nature des actions mises en œuvre. Si, par contre, l’association est importante et que chaque adhérent ne se perçoit que comme un utilisateur anonyme, les dirigeants auront une grande latitude pour orienter les décisions et les actions de l’association dans la direction qui leur semble pertinente.

3.2.6. Les coopératives et les mutuelles Dans les coopératives et les mutuelles, il existe initialement un affectio societatis fort puisque la création de la coopérative ou de la mutuelle a généralement été le fait d’un petit groupe de coopérateurs désireux d’unir leurs efforts. Avec la croissance de l’organisation, ce lien entre les coopérateurs (ou les sociétaires) et les dirigeants tend à se distendre. Une solution adoptée consiste à prévoir différents niveaux d’implication des coopérateurs ou des sociétaires : l’échelon local avec les assemblées générales, puis l’échelon départemental ou régional et, enfin, l’échelon national. Le travers de ce type de structuration est qu’il peut exister un réel contrôle au niveau local, mais le choix des délégués siégeant aux niveaux supérieurs résulte souvent davantage du choix des dirigeants que du choix des coopérateurs ou des sociétaires. La structure coopérative, quand elle prend une dimension importante, s’apparente souvent davantage à un modèle de parti unique où les dirigeants s’autosélectionnent plutôt qu’à un réel mode de représentation des acteurs de base que sont les coopérateurs et les sociétaires locaux.

3.3. La responsabilité de la mise en place du système de contrôle interne Si le PDG est le premier responsable du contrôle interne, il délègue sa mise en place aux différents responsables hiérarchiques.

3.3.1. Les dirigeants sociaux Pour chaque forme de société, la loi confère à une personne la mission de représenter la société dans ses rapports avec les tiers. Il s’agit : • des gérants dans les sociétés en nom collectif, en commandite ou à responsabilité limitée ;

• du président du conseil d’administration ou du président du directoire dans les sociétés anonymes ; • des liquidateurs si la société est en cours de liquidation. La société peut également être engagée par d’autres personnes, en raison de pouvoirs qui leur sont conférés par la loi, par les statuts de l’entreprise, ou par une délégation hiérarchique interne à l’organisation.

3.3.2. Les responsables hiérarchiques Les représentants légaux d’une société peuvent déléguer à d’autres personnes de leur choix le pouvoir d’accomplir, au nom de la société, certains actes rentrant dans le cadre d’une fonction déterminée (direction administrative, direction technique...). Les délégations sont effectuées sous la responsabilité du représentant légal qui répond à l’égard de la société des fautes qu’il aurait commises (mauvais choix de la personne, attributions mal définies, contrôle non exercé). Bien que les délégations engagent la société dans la limite du mandat, ces limitations de pouvoir sont généralement inopposables aux tiers, car ces derniers peuvent invoquer l’absence de connaissance des clauses limitatives de délégation de fonctions. C’est pourquoi la loi prévoit des exigences de publicité pour l’exercice de certaines fonctions ou pour la constitution des sociétés. Les dirigeants sociaux ne pouvant tout coordonner doivent déléguer des fonctions de supervision et de coordination des employés. Dans certains services, la fonction de coordination est essentielle, notamment en cas de travail en équipe. Dans d’autres services, la fonction de supervision est primordiale, c’est le cas des chaînes de production en continu, ou quand des employés effectuent des opérations qui engagent l’entreprise35.

3.3.3. Les autres salariés Tout individu qui assure une tâche réalise mentalement un contrôle interne, dans la mesure où il confronte ce qu’il souhaite obtenir avec ce qu’il est en train de réaliser. Un des problèmes soulevés par le travail répétitif est la perte de ce contrôle interne : l’individu exécute la tâche que l’on attend de lui sans y penser, sans chercher à l’améliorer et, parfois, sans même identifier les dysfonctionnements. Avec l’automatisation des fonctions élémentaires, le travail humain devient de plus en plus une ressource utilisée pour résoudre des tâches complexes. Celui qui est responsable d’un travail doit donc prévoir un mécanisme de contrôle interne non seulement de son travail, mais également de celui de ses subordonnés36. Dans les grandes organisations, la séparation des fonctions suppose que toutes les

tâches élémentaires soient correctement effectuées par les salariés. Aussi, le travail de certains employés consiste non pas à assurer une fonction directe de production, mais à garantir le bon déroulement des opérations de production. C’est le cas des employés du service de maintenance qui, en plus de la maintenance préventive des outils de production, doivent intervenir ponctuellement pour dépanner les machines présentant des anomalies de fonctionnement. D’autres employés exercent des fonctions de contrôle. Dans les sociétés de bourse qui traitent les ordres d’achat ou de vente de valeurs mobilières, certains agents interviennent directement sur les marchés, ou sont en relation avec la clientèle, mais d’autres agents constituent le back-office37, c’est-à-dire le bureau d’enregistrement et de suivi des transactions, grâce auquel les intervenants sur le marché peuvent connaître à tout moment leur exposition au risque ou la position de leurs clients.

3.4. La mise en œuvre du contrôle interne Le système de contrôle interne doit être adapté à chaque organisation. En fonction de la nature des activités à remplir, il doit assurer le respect d’un certain nombre de principes qui sont la séparation des tâches, la supervision et la conservation des actifs. Il doit également être adapté aux différentes tâches pour permettre une identification et une réduction des sources d’erreurs. Il doit se traduire par une matérialisation des contrôles effectués.

Graphique 1.4 Objectifs du contrôle interne et procédures à mettre en place

3.4.1. La séparation des tâches La séparation des tâches suppose que personne ne puisse assurer une transaction du début à la fin. Le but de la division des tâches est de détecter les erreurs involontaires, et de s’assurer que personne n’est dans une position telle qu’il lui soit possible de détourner un actif de l’entreprise et de camoufler son action en falsifiant les informations enregistrées. Pour chaque transaction, on distingue ainsi trois étapes cruciales : • l’autorisation ou l’initialisation de la transaction ; • la manipulation physique ou le contrôle des actifs liés à la transaction ; • l’enregistrement comptable de la transaction. Il est souhaitable qu’aucune personne n’exerce simultanément deux de ces fonctions. De plus, il est préférable d’établir une description précise des tâches de chacun et de sa limite d’engagement de l’entreprise. Par exemple, un directeur d’usine sera autorisé à engager des investissements tant que ceux-ci seront d’un montant inférieur à 10 000 €, mais, au-delà, il devra en référer à son PDG, voire à son conseil d’administration. De même, un chef comptable pourra être habilité à signer les chèques d’un montant unitaire inférieur à 500 € ; au-delà, il devra les porter à la signature du directeur financier. La séparation des tâches suppose que la structure organisationnelle, les responsabilités et les tâches de chacun soient clairement définies, notamment par l’utilisation d’organigrammes commentés précisant la nature des postes, les relations hiérarchiques, et les responsabilités. L’entreprise doit également favoriser la rotation interne de son personnel, afin d’éviter qu’une personne ne soit affectée pendant un laps de temps trop important à une même tâche. Les absences d’un employé, pour maladie ou congés, peuvent ainsi être mises à profit pour faire assurer la réalisation provisoire des tâches par un autre salarié.

Encadré 1.12 Les limites du principe de séparation des tâches Ce principe révèle une évidence : toute personne humaine est faillible que ce soit involontairement (par fatigue ou incompétence) ou volontairement (par attrait d’une possible récompense ou par crainte d’un événement). Séparer les tâches entre des personnes distinctes permet de réduire le risque de défaillance puisque la probabilité que les personnes impliquées commettent une erreur similaire ou complémentaire (les probabilités se multiplient entre elles, ce qui

aboutit à une probabilité globale d’erreur plus faible) est généralement inférieure à la probabilité d’erreur d’une seule personne38. Le principe de séparation des tâches réduit le risque qui existe en cas de confusion des tâches, mais il n’appréhende pas l’intérêt économique d’une concentration des tâches. Ainsi, les entrepreneurs individuels exercent la totalité des fonctions liées à leur activité. Cela leur procure des gains d’autonomie très significatifs par rapport à des structures plus lourdes. De même, certains travaux peuvent nécessiter une technicité et une vision globale peu compatibles avec une séparation des tâches. Enfin, la dépendance suscitée par la séparation des tâches peut accroître certains risques. S’il existe une pression sociale, familiale, tribale, le même individu qui pourrait souhaiter réaliser parfaitement son travail, peut accepter de commettre des fautes pour se conformer à la culture locale ou aux attentes sociales39. Les systèmes mafieux s’appuient sur une très forte séparation des tâches qui permet un contrôle rigoureux du comportement des individus. 3.4.2. La supervision La supervision comporte l’approbation finale des transactions et la vérification de la réalisation des contrôles de base. Les responsables de services doivent assurer l’approbation finale des transactions après qu’elles aient fait l’objet des contrôles de base adaptés, mais avant qu’un traitement postérieur ne soit effectué. Ainsi, les factures fournisseurs doivent être approuvées avant d’être transmises au service trésorerie pour leur règlement, les salaires doivent être approuvés avant que les montants ne soient virés aux comptes des salariés. Les responsables de service doivent également s’assurer que les contrôles de base sont effectués et que les anomalies sont suivies et donnent lieu à des corrections. Les rapprochements de banque sont réalisés mensuellement par l’employé responsable de la trésorerie, mais ils doivent être contrôlés périodiquement par le responsable de service qui doit s’assurer que les montants figurant en rapprochement s’apurent sur les mois ultérieurs ou que, dans le cas inverse, des investigations ont été faites pour expliquer et éventuellement corriger les montants restant en rapprochement.

3.4.3. La conservation des actifs Deux risques principaux concernent la conservation des actifs. Le premier est le

risque de détournement, c’est-à-dire le risque de non-détention de l’actif. Le second risque est celui de dégradation, c’est-à-dire de perte de valeur du bien. Les détournements d’actifs sont provoqués, soit par des vols, soit par une inattention au maintien des conditions de propriété. Dans le premier cas, il convient de s’assurer que des dispositions de sauvegarde des actifs sont prises et que les biens sont assurés contre leur disparition. Les moyens de paiement (espèces, chéquiers...) doivent être remis au coffre-fort tous les soirs. Les biens mobiliers doivent être situés dans un local clos, les contrats doivent être conservés au coffre. Dans le second cas, il faut s’assurer que les actifs font l’objet d’un suivi destiné à assurer leur pérennité. C’est le cas des brevets, des marques... pour lesquels il convient de déposer, et éventuellement de renouveler, des dossiers auprès des instituts gérant la propriété industrielle, non seulement dans le pays d’origine, mais parfois aussi à l’étranger. Ce risque est également important pour les actifs mobiliers où, à défaut de preuve contraire, la possession vaut titre de propriété. L’entreprise doit effectuer régulièrement un inventaire détaillé et descriptif de l’ensemble de ses actifs. Les dégradations d’actifs sont de deux sortes. Soit elles sont inévitables, et l’on parle alors d’amortissement destiné à prendre en compte l’usure du bien, soit elles auraient été évitables et, bien qu’elles doivent faire l’objet d’une provision, elles engagent la responsabilité du dirigeant sur la qualité de sa gestion des risques et sur la maîtrise de son contrôle interne en matière de préservation des actifs.

Encadré 1.13 Le coût du flou Au milieu des années 1980, la Bourse de Paris a connu un accroissement considérable des volumes de transaction. À l’époque, les charges d’agents de change étaient des offices personnels transmissibles à des personnes physiques responsables de leur activité sur leurs biens personnels. L’accroissement brutal des transactions boursières a généré des situations de rente pour ces charges d’agents de change en raison de la réglementation existante et de l’absence de concurrence réelle, sinon celle des autres places financières. De nombreuses charges n’ont pas su adapter leur structure, et notamment le suivi du traitement des ordres (le back-office), au nouveau flux d’activité. De plus, l’activité étant très profitable, le besoin de contrôle interne s’est fait plus flou. Lors de la réforme de la profession d’agent de change et de la

transformation en sociétés de bourse au capital ouvert aux grands groupes financiers, il est apparu que, pour de nombreuses charges d’agents de change, les créances comptabilisées à l’actif sur d’autres charges d’agents de change étaient, sinon non identifiables, du moins non justifiables par des pièces attestant la réalité de la transaction ; les pièces ayant été, soit égarées, soit le plus souvent non classées. L’évaluation de la valeur des charges d’agent de change a été fortement affectée par les incertitudes planant sur le montant recouvrable des créances, mais également sur le montant réellement exigible des dettes. La dégradation des actifs peut résulter d’une inattention. Elle peut également résulter d’une mauvaise anticipation stratégique. Dans certains domaines, tels que la téléphonie mobile ou l’informatique, l’évolution technologique entraîne une péremption rapide des produits et oblige à constater une perte de valeur pour les produits non vendus. 1. Chaque acteur reste libre d’avoir les intentions qu’il souhaite mais, au sein de l’organisation, le contrôle interne vient limiter l’expression de ces intentions. Le contrôle interne joue le rôle de filtre, il autorise les actions qui correspondent aux attentes de l’organisation. 2. Dans certains modèles d’agence multi-principaux, la théorie permet de prendre en compte une pluralité des acteurs principaux. La difficulté est de définir ex ante les objectifs à atteindre sans que ceux-ci ne soient contradictoires entre eux. La différence avec la théorie des parties prenantes est alors plus ténue car, dans les deux cas, l’organisation est reconnue comme poursuivant des objectifs multiples. Néanmoins, la différence essentielle est que, dans la théorie des parties prenantes, les attentes ne sont pas nécessairement sur les objectifs de l’organisation mais parfois bien davantage sur la manière de les atteindre, c’est-à-dire sur le choix des moyens. 3. Un ordinateur échappe au contrôle de ses opérateurs et prend le contrôle de l’appareil spatial sur lequel il est embarqué. 4. Feynman R.P., Leighton R.B. et Sands M. (2010), The Feynman lectures on physics, Basic Books. 5. La méthode 6-sigma signifie six fois l’écart-type d’un échantillon. Pour s’approcher de la « qualité totale », c’est-àdire de l’absence de rejet de produits ou de services par le client (produits ou services qui ne satisferaient pas les paramètres d’exigence fixés a priori par le client), la méthode considère que l’écart-type d’un échantillon donné doit être inférieur à 1/6e de la tolérance fixée par le client (écart entre la valeur haute acceptée et la valeur moyenne attendue ou entre la valeur basse acceptée et la valeur moyenne attendue). 6. Pour plus d’approfondissements, voir notamment : http://www.wikilean.com 7. La notion de risque et d’imprévisible a fait l’objet d’une analyse théorique assez poussée par Frank Knight. Plus récemment, Nicolas Taleb a développé le concept de cygne noir basé sur le principe que ce que l’on ignore on le croit impossible. Knight F.H. (1921), Risk, Uncertainty and Profit, Dover Publications, 2006. Taleb N.N. (2008), Le cygne noir – La puissance de l’imprévisible, Les Belles Lettres. 8. Coase R. H. (1937), « The nature of the firm », Economica, 4, 386-405. 9. Demsetz H. (1967), « Toward a Theory of Property Rights », American Economic Review, 57, 347-359. Alchian, A. A. et Demsetz H. (1972), « Production, information costs, and economic organization », American Economic Review, 62, 777-795. 10. Le « On » de Martin Heidegger : Heidegger M. (1927), Sein und Zeit, traduction et édition de E. Martineau, 1985.

Le directeur financier d’Enron, Andrew Fastow, en est un bon exemple. Il incarnait l’élève modèle, celui qui concevait et mettait en œuvre les systèmes comptables qui répondaient aux objectifs des deux dirigeants d’Enron. 11. Le postulat d’opportunisme ne signifie pas que l’individu va effectivement être opportuniste. En effet, selon les situations rencontrées, d’autres facteurs vont rentrer en ligne de compte qui peuvent expliquer qu’un individu ne soit pas opportuniste dans une situation donnée. Par exemple, les relations familiales, amicales, la confiance, la répétition des transactions avec un même partenaire ou un même réseau de partenaires, sont autant de paramètres qui rentrent en compte dans le calcul du rapport coûts/avantages d’une transgression de la parole donnée ou du contrat conclu. Postuler l’opportunisme signifie considérer qu’il n’existe pas d’autres facteurs que le rapport coûts/bénéfices dans la décision de respecter la parole donnée. Il ne s’agit donc pas d’une possibilité, qui nécessiterait l’ajout d’une probabilité (la probabilité que l’individu adopte un comportement opportuniste), mais d’une quasi-certitude. Le seul élément considéré pertinent par la théorie économique est l’arbitrage entre les coûts et les gains d’un comportement qui déroge aux conventions conclues précédemment avec les autres acteurs. 12. Spinoza (1675), L’Éthique, Gallimard, 1980. 13. Cela a été mis en évidence par Marcel Mauss à propos de la logique de don et de contre-don présente dans différentes cultures aborigènes : Mauss M. (1923), « Essai sur le don, forme et raison de l’échange dans les sociétés archaïques », in Sociologie et anthropologie, PUF, 2010. 14. Axelrod R. (1984), The Evolution of Co-operation, Penguin Books, 1990. 15. Alchian A. et Demsetz H. (1972), « Production, Information Costs, and Economic Organization », The American Economic Review, Vol. 62, no. 5, pp. 777-795. 16. Valukas A. R. (2010), Examiner’s Report on Lehman Brothers Bankruptcy, United States Bankruptcy Court, Southern District of New York. The Financial Crisis Inquiry Commission (2011), Final Report of the National Commission on the Causes of the Financial and Economic Crisis in the United State. 17. Fama E. F. (1980), « Agency problems and the theory of the firm », Journal of Political Economy, 88: 288307. 18. Les entreprises japonaises, qui ont exercé un rôle leader dans la mise en place de ces équipes pluridisciplinaires, se sont fortement appuyées sur le développement d’un système centralisé de gestion du personnel et sur une forte rotation des postes : Aoki M. (1984), The Co-operative Game Theory of The Firm, Oxford University Press. 19. Crozier M. et Friedberg E. (1977), L’acteur et le système, Éditions du Seuil. 20. Un employé n’est jamais indispensable, tout dépend du coût que l’on est prêt à supporter pour se passer des compétences de la personne et des moyens que l’on se donne pour obtenir une solution alternative. 21. La qualité est une notion relative au besoin que l’on cherche à satisfaire. Une qualité dans un environnement donné peut s’avérer une non-qualité dans un environnement distinct. Théoriquement, le jeu des marchés permet de réaliser l’adéquation des produits ou des services aux besoins. En réalité, il arrive fréquemment (en raison notamment des situations de monopole ou d’oligopole) que le choix des produits soit limité et que des clients soient contraints d’acquérir un produit ou un service qui ne correspond que très imparfaitement à leurs attentes et à leurs besoins. 22. Pour une compréhension théorique et pratique des dysfonctionnements à l’origine des anomalies de fonctionnement : Savall H. et Zardet V. (2005), Maîtriser les coûts et les performances cachés. Economica. 23. L’utilisation d’un tableur engendre fréquemment ce type d’erreurs. Le tableau peut être mal conçu, et certains calculs ne sont pas faits alors que l’opérateur croit qu’ils le sont, ou, lors d’une mise à jour du tableau, certaines formules de calcul ont été modifiées sans que le programmeur s’en aperçoive et les calculs ne prennent pas en compte l’intégralité des données. 24. Certaines anomalies peuvent se traduire par une perte financière pour l’entreprise. Pendant quelques semaines, les enregistrements des retraits d’espèces réalisés par carte bancaire auprès de certains automates bancaires pour les clients d’une succursale d’un grand établissement bancaire étranger, ont été erronés et la banque n’était plus capable de déterminer à quel titulaire de compte bancaire les retraits devaient être imputés. 25. Dans l’affaire de la « vache folle » (rendue publique début 1996), les conséquences initiales étaient faibles pour les éleveurs britanniques, puisque seuls les consommateurs étaient susceptibles, sans s’en rendre compte, de souffrir, à une échéance plus ou moins éloignée, des conséquences d’une alimentation animale impropre au bétail. Cependant, à moyen et long terme, la chute de la consommation de viande bovine anglaise a touché fortement les éleveurs

britanniques. 26. La vidéo réalisée par Air France pour la présentation des comportements à adopter en cas d’évacuation d’urgence de l’avion est un bon exemple de conciliation entre une exigence réglementaire et une attente commerciale et pédagogique : la vidéo est traitée sur un ton humoristique sous le format d’un court métrage. 27. Dans le cas des associations, ce sont les adhérents qui, en assemblée générale, élisent les membres du conseil d’administration. 28. Coase, R.H. (1937), « The nature of the Firm », Economica, vol. 4, p. 331-351. 29. Williamson O.E. (1985), The Economic Institutions of Capitalism, The Free Press. 30. A fortiori, ceci explique en partie la spécialisation de régions dans certaines productions industrielles. Par exemple, la région de Détroit aux États-Unis a longtemps été un lieu de forte concentration de l’industrie automobile et de ses sous-traitants. Cette concentration permettait de réduire la spécificité des actifs puisque les sous-traitants pouvaient réorienter leur production vers des constructeurs concurrents. 31. Notamment en matière de technologie. Les questions de délimitation des pouvoirs deviennent essentielles quand un acteur dispose de connaissances critiques pour l’organisation. Une solution, pour réduire les dysfonctionnements susceptibles d’émerger en raison de ce pouvoir informel, est de renforcer le formalisme des procédures et de rédiger des guides de réalisation des tâches et des activités. 32. Dans la période actuelle, ce risque de mise en cause des dirigeants de grandes entreprises reste limité aux cas exceptionnels d’abus de biens ou de fraude. Mais, pour les dirigeants de petites organisations, le risque de mise en cause de leur gestion est non négligeable et peut se traduire par des coûts personnels significatifs, que ces coûts soient économiques (perte d’emploi) ou sociaux (réputation). 33. Le renforcement juridique des contraintes a inversement pour effet d’alourdir les coûts de contrôle interne et donc de rendre moins profitable le développement de nouvelles activités ou la création d’entreprises. Cette raison explique la persistance d’invocations (rarement suivies d’effet) à réduire le poids des contraintes administratives et juridiques. 34. Les réformes juridiques qui visent à limiter la responsabilité des dirigeants et des créateurs d’entreprise (par exemple en autorisant la création de sociétés sans capitaux propres ni actif professionnel) ont pour effet de rendre plus critique l’absence de contrôle interne puisque ce sont les tiers qui subissent alors les conséquences des erreurs ou des difficultés rencontrées par ces entreprises individuelles. 35. Par exemple, dans le domaine financier pour les prêts à la clientèle, ou pour les opérations sur les marchés financiers. En 1995, la faillite de la banque britannique Barings a eu pour origine une défaillance des mécanismes de contrôle interne se traduisant par l’absence de supervision de certaines opérations complexes sur les marchés des changes. 36. Par exemple, dans les cabinets d’expertise comptable, les chargés de mission doivent effectuer une revue des dossiers de travail de leurs collaborateurs. 37. Dans les sociétés de bourse, on distingue le front-office qui comprend les interventions sur le marché, du backoffice qui assure le suivi comptable de ces transactions. 38. Si les personnes sont considérées comme indépendantes, la probabilité d’une erreur qui supposerait à la fois une erreur de la personne A et une erreur de la personne B est égale au produit des probabilités d’erreur de la personne A et de la personne B (P=pA°x°pB). Mathématiquement, le produit de deux probabilités est inférieur à chacune des deux probabilités considérées individuellement (P≤pA et P≤pB). 39. Il n‘est pas besoin d’aller dans les pays en voie de développement pour rencontrer ces cas de conformité à des pratiques répréhensibles. L’évasion fiscale, les méthodes comptables et juridiques de contournement de l’esprit des normes et du bien public sont autant de pratiques qui traduisent une certaine conformité à une idéologie de la prédominance de la réussite financière.

Chapitre 2. L’audit L’audit est la procédure de contrôle de la conformité d’une tâche, d’une activité, d’un processus, d’une entreprise. Si l’audit est souvent assimilé au fait de dresser un état des lieux, il ne se limite pas à cet aspect d’inventaire. Il est l’étude d’un système dynamique. L’audit étudie non seulement l’image du système à un instant donné (ce qui pour les états comptables et financiers correspond au bilan), mais il étudie également l’évolution du système, les entrées et les sorties de la période observée, les inputs et les outputs des processus. Il est fréquent de considérer que l’audit permet de s’assurer de la conformité d’une situation, d’un processus, d’une entreprise à l’image qui en est donnée. Un peu comme s’il était nécessaire de vérifier qu’une image photo est conforme à la scène photographiée. Les normes d’audit s’attachent aux conditions de représentation de l‘image. Celle-ci est normée, elle doit obéir à des paramètres strictement définis. Pour étudier un système, il faut comprendre son fonctionnement. Dans le cas contraire, on peut en dresser un inventaire mais on omettra l’aspect le plus important : l’action coordonnée des différents éléments du système. Un système, ou une entreprise, ne fonctionne efficacement que s’il est pourvu de mécanismes de régulation, de contrôle et de correction. L’ensemble de ces mécanismes, destinés à assurer le fonctionnement harmonieux et efficace du système ou de l’entreprise, constitue le contrôle interne. Il n’y a pas d’audit fiable et utilisable sans une connaissance et une analyse des forces et faiblesses du contrôle interne.

Encadré 2.1 Les différents aspects de la conformité Dans l’exigence de conformité d’une image figée à une scène qui se déroule, la conformité ne se limite pas à l’image. L’image ne représente qu’une fraction des éléments de la scène. Ceci est particulièrement visible dans la comparaison entre une photographie et une peinture impressionniste. Une photographie est supposée plus réelle, plus vraie qu’un tableau impressionniste. Mais n’est-ce pas une question de représentation, de choix de représentation et, par conséquent, de choix des normes qui permettent de juger de la conformité. Une photographie ne s’intéresse qu’aux différents rayonnements produits par la réflexion

de la lumière sur la scène observée. Les bruits, les odeurs, les mouvements, les sentiments sont comme effacés de la scène. À l’inverse, la peinture impressionniste prend de la distance par rapport à une représentation focalisée sur les rayonnements lumineux, elle s’attache à réintroduire une certaine subjectivité, une interaction entre la scène et l’observateur. La représentation dépend non seulement de la scène observée mais également de l’observateur. La conformité de la représentation à la scène ne se limite pas à la seule fréquence des vibrations et de l’énergie véhiculées par des photons. L’audit ne se substitue pas au contrôle interne. Il en est le complément. Il répond à une demande de certification d’une conformité. Mais il est également façonné par ceux qui le réalisent. Les auditeurs ne sont pas seulement le produit de l’audit, les collaborateurs qui exécutent les travaux prescrits par les normes. Ils sont également les acteurs du processus d’audit, ceux qui ont contribué à le faire évoluer. S’il existe une demande d’audit, celle-ci n’est pas nécessairement totalement satisfaite par la prestation réalisée par les auditeurs. Entre les deux peut exister une divergence, un écart d’attente (expectation gap en anglais1).

1. La demande d’audit Trois facteurs principaux expliquent l’existence d’une demande d’audit : • s’assurer que le produit audité est conforme aux normes : la certification d’un produit ; • vérifier que le contrôle interne est adapté et efficient : la certification du processus de contrôle qui détermine la qualité du produit ; • instituer un contrôle périodique des procédures de contrôle de l’entreprise : la certification de la maîtrise de l’organisation et du contrôle de l’intégralité des processus et des chaînes de valeur.

1.1. S’assurer que le produit généré est conforme aux normes Pour remplir cet objectif, l’audit doit avoir défini précisément les caractéristiques du produit à auditer, les normes qu’il convient de respecter, et la notion de conformité : à partir de quel seuil un produit cesse-t-il d’être conforme à une norme ?

1.1.1. Le produit

L’audit, en tant que procédure de contrôle, n’a de sens que par rapport à ce qu’il est censé contrôler. À l’origine de l’audit, il y a un bien, un service ou une activité que l’on souhaite « auditer ». Selon la taille du domaine étudié, l’audit sera davantage stratégique (la pertinence des choix effectués), ou au contraire technique (la manière de faire). La nature des produits audités est multiple : • les comptes annuels ou trimestriels d’une entreprise : la qualité de la représentation comptable et financière des activités et du bilan de l’organisation ; • la valeur de cession/acquisition d’une entreprise. Le produit est la détermination des éléments du prix de cession. Ce n’est pas l’audit qui fixe le prix, celui-ci dépend des négociations entre le cédant et l’acquéreur, mais c’est l’audit qui valide la valeur des éléments rentrant dans la négociation ; • le processus de réalisation d’une tâche. Dans les audits opérationnels, le contrôle porte sur les procédures, qu’il s’agisse du traitement des informations administratives, de la production d’un bien ou d’un service, ou de son suivi. L’audit est généralement limité par les frontières de l’organisation. Cependant, l’auditeur ne peut faire l’économie d’une réflexion sur la conformité des éléments acquis par l’entreprise. La conformité des inputs (des entrants : les ressources acquises par l’entreprise pour réaliser ses processus) est cruciale pour la qualité du produit final. La question des frontières assignées à l’audit est donc essentielle. Dans de nombreuses fraudes, les personnes impliquées ont joué sur ces frontières en fournissant aux auditeurs des informations délibérément erronées mais apparemment produites à l’extérieur de l’organisation2. Un contrôle classique dans l’audit comptable et financier consiste à s‘assurer que les documents émanant de tiers (notamment les factures) ont bien été rapprochés des documents internes (les bons de réception ou les bons de commande). Le client attache généralement un intérêt élevé à ce que le produit acheté soit conforme à ses attentes. Quand elles en ont les moyens, et la possibilité (en raison d’un rapport de forces favorable), les entreprises clientes peuvent instaurer des audits de leurs fournisseurs.

Encadré 2.2 Les coûts de transaction et les coûts de sous-traitance Au début des années 1980, les constructeurs automobiles privilégiaient l’obtention de prix d’achat les plus faibles possibles. Pour cela, ils maintenaient une forte concurrence entre de multiples sous-traitants. La réorganisation des modes de production, l’impératif de réduction des

stocks rendu possible par les techniques de production en juste à temps, la recherche d’une qualité plus élevée, ont obligé les constructeurs à partager davantage d’informations avec leurs sous-traitants et à jumeler plus étroitement les livraisons des sous-traitants et leur planning de production. Deux évolutions en ont résulté. Les constructeurs ont réduit le nombre de sous-traitants de premier rang, c’est-à-dire ceux à qui ils achètent directement, en obligeant les plus petits, ou les moins performants, à se regrouper ou à devenir sous-traitants de second rang, c’est-à-dire à approvisionner les fournisseurs de premier rang qui réalisent un sousproduit complet (un module, par exemple le siège ou le tableau de bord) directement incorporable sur les chaînes de production. Les constructeurs ont imposé à leurs sous-traitants de premier rang des normes à atteindre et, par le biais d’audits de qualité, ils les ont contraints à améliorer leurs procédures de production et à renforcer leur contrôle interne sous peine d’être déréférencés et relégués au second rang. 1.1.2. Les normes internes, contractuelles ou légales Les normes internes sont fixées par l’entreprise en fonction des objectifs stratégiques qu’elle s’est définie. En règle générale, une norme sévère permet d’accroître la qualité mais, en contrepartie, les ressources nécessaires pour mettre en œuvre la norme sont plus importantes et les coûts plus élevés. Une entreprise n’a donc intérêt à renforcer une norme que si cela crée une valeur marchande supplémentaire, en termes de notoriété, d’image de marque... La valeur créée par le renforcement d‘une norme interne peut aussi entraîner une diminution des autres coûts de l’entreprise. Ainsi, de nombreux groupes internationaux offrent une information sociale et environnementale qui dépasse le cadre légal. La production de cette information (sa collecte, son traitement et sa diffusion) entraîne nécessairement des coûts supplémentaires. En contrepartie, cette information permet à l’entreprise de réduire ses coûts d’agence en montrant à ses investisseurs qu’elle maîtrise ses risques sociaux et environnementaux et en montrant à ses autres parties prenantes qu’elle leur accorde de l’importance. Dans les groupes internationaux, des normes internes sont fréquemment imposées par les sociétés holding pour disposer de l’information qu’elles estiment pertinente et pour

favoriser la diffusion de pratiques homogènes entre les différentes sociétés du groupe. Les normes contractuelles découlent des conventions conclues entre l’entreprise et ses partenaires. Pour postuler à certains marchés, les entreprises peuvent être contraintes de fournir des informations techniques ou comptables sur leurs processus internes. Les normes légales sont édictées par les organes législatifs des régions, des pays ou des unions dont relève la société, ainsi que par divers organismes internationaux (OMC Organisation Mondiale du Commerce, BIT Bureau international du travail, IASB International Accounting Standards Board…).

Encadré 2.3 Les questions de tétranormalisation En 2005, Henri Savall et Véronique Zardet3 ont publié un ouvrage dans lequel ils recensaient les différentes formes de conflits dues à la multiplication des normes et, en particulier, à la pluralité des sources de normalisation. La multiplication des normes et des normalisateurs, qui répond aux exigences de globalisation et d’adaptation à des environnements changeants, se traduit parfois par des situations absurdes où le respect de l’universalité des normes s’avère impossible. Les normalisateurs sont conscients de cet état de fait et ils passent désormais beaucoup de temps à intégrer les conséquences des interactions entre les différentes normes. Le résultat paradoxal n’est pas une diminution de la quantité de normes mais un raffinement toujours plus grand de leur domaine d’application. Les normes rentrent ainsi dans des détails techniques pour préciser les conditions qui autorisent à leur dérogation ou les comportements à adopter en cas de conflits, etc. 1.1.3. La conformité du produit aux normes La conformité du produit aux normes doit être appréciée individuellement pour chaque anomalie, et globalement pour l’ensemble des anomalies relevées par rapport au résultat souhaité. La conformité d’un produit à une norme est toujours relative. Si une norme indique des modalités à respecter, elle se doit d’en préciser les frontières. La conformité du produit à la norme dépend de la mesure de la déviation (l’écart à la norme) et de son importance absolue et relative.

Certaines normes sont très contraignantes et imposent le rejet du produit dès que l’un des critères de la norme n’est pas atteint. D’autres normes sont plus indicatives, et c’est à l’auditeur de déterminer l’impact du non-respect de la norme sur la qualité du produit ou du processus. Pour justifier sa décision, l’auditeur peut s’appuyer sur sa connaissance globale des anomalies relevées. Il peut chiffrer ou estimer cet impact sur le produit fini. En termes comptables, il observera le cumul des anomalies relevées par rapport aux comptes concernés (risque de présentation) puis par rapport au résultat de l’exercice ou aux capitaux propres. Il pourra ainsi approuver les comptes, émettre des réserves ou refuser de certifier.

1.2. S’assurer que le contrôle interne est adapté et efficient Un contrôle interne utile pour l’entreprise suppose trois conditions : qu’il soit défini, qu’il soit pratiqué et qu’il soit efficient. L’objectif de l’audit est de répondre à ces trois questions.

1.2.1. Le contrôle interne est-il défini ? Le contrôle interne peut être défini formellement grâce à un manuel de procédures, ou il peut résulter des us et coutumes propres à l’entreprise ou au secteur d’activité. Selon le Code de commerce, un document décrivant les procédures et l’organisation comptable doit être établi par le commerçant dès lors que ce document est nécessaire à la compréhension du système de traitement et à la réalisation des contrôles. Ce document comprend notamment : la description de l’organisation générale de l’entreprise, le mode de saisie et de traitement des informations de base, les modalités de contrôle des opérations de traitement, et la nature des documents de sortie. Ce document doit être adapté à la taille et à la complexité de chaque organisation. Le manuel de procédures répond à ces exigences, mais sans être limité au traitement comptable de l’information. Son objet est de décrire les procédures en vigueur dans l’entreprise, ainsi que les contrôles effectués. Il constitue un élément indispensable pour s’assurer de la fiabilité du contrôle interne. En fournissant une référence opposable à tous, il met en évidence les lacunes et les faiblesses observées dans le déroulement des tâches quotidiennes. Le manuel de procédures peut être réalisé selon trois approches complémentaires : • en termes statiques : il décrit les composantes de l’organisation, ses tâches et ses activités ; • en termes de flux : il décrit les procédures à partir des flux d’information ou des flux de production. Il donne une approche dynamique de l’entreprise en rendant compte

de la cohérence de ses activités ; • en termes de responsabilité : il décrit les fonctions et les responsabilités de chacun. Il facilite l’évaluation de la performance de chaque responsable. Pour faciliter la vie et les échanges dans une entreprise, de nombreuses procédures sont informelles et reposent sur des habitudes non mentionnées dans le manuel de procédures. Dans la mesure où ces manières de faire sont répétitives et font partie de l’environnement des employés concernés, il est nécessaire de les prendre en compte pour évaluer l’efficacité du système de contrôle interne. La réunion des chefs de service du lundi matin, pour faire le point sur les problèmes rencontrés au cours de la semaine écoulée et pour planifier les principales actions à mener au cours de la semaine à venir, constitue un exemple d’usages à intégrer dans le système de contrôle interne. Ces réunions jouent un rôle essentiel dans la diffusion de l’information et dans la remontée des problèmes.

1.2.2. Le contrôle interne est-il pratiqué ? Une entreprise doit non seulement identifier les points clés d’une bonne maîtrise de son organisation mais elle doit également assurer leur contrôle. Les contrôles prévus par le manuel de procédures sont formels. Il arrive fréquemment qu’ils soient devenus inadaptés et qu’ils ne soient plus pratiqués dans l’entreprise ; notamment quand le système de production a évolué et que des contrôles manuels ont été automatisés. Quand des contrôles formalisés sont devenus inopérants ou inadaptés, l’organisation réagit en instituant de nouveaux contrôles. L’efficacité d’un responsable de service ne dépend pas d’abord de son aptitude à appliquer les procédures mais plutôt de sa capacité à remplir les fonctions qui lui sont confiées, ce qui nécessite une adaptation régulière des procédures formelles et informelles. Les contrôles informels répondent à un besoin ; ils émanent généralement de pratiques qui se sont établies sans que plus personne ne les remette en cause. Leur utilité initiale a pu progressivement s’éroder. Il est donc possible qu’ils ne permettent plus de couvrir le risque historiquement identifié. C’est fréquemment le cas quand le responsable de service est dépassé par l’évolution technologique et que les contrôles qu’il met en place portent davantage sur la forme que sur le fond.

1.2.3. Le contrôle interne est-il efficient ? Le contrôle interne est efficient quand il permet de détecter les anomalies et qu’il favorise leur correction. Un contrôle peut être défini, il peut être appliqué, mais il peut être inefficient. Si le dirigeant ne cherche qu’à résoudre les conséquences des dysfonctionnements sans s’attaquer aux raisons premières, il ne peut que multiplier ses efforts sans parvenir jamais à atteindre les fondements des dysfonctionnements. La

conséquence en est à la fois une déperdition d’énergie et un risque accru de crise si le dirigeant cesse d’être présent ou si les dysfonctionnements deviennent incontrôlables. Les anomalies détectées doivent non seulement faire l’objet d’une correction mais elles doivent également être répertoriées ainsi que les solutions qui leur ont été apportées. Cet enregistrement des anomalies et de leurs remèdes a deux justifications. Il permet de recourir rapidement aux solutions précédemment appliquées si le même dysfonctionnement se reproduit. Il s’agit alors d’un accroissement de l’expérience accumulée par l’organisation. Mais il évite aussi le maintien de dysfonctionnements dont la seule raison d’être serait les conflits de pouvoirs entre différents acteurs de l’entreprise. En effet, l’existence de dysfonctionnements fournit un pouvoir important à celui qui maîtrise les dysfonctionnements et qui peut, à sa guise, les susciter ou les solutionner. L’audit a pour objet de veiller à ce que les procédures de contrôle interne soient définies, qu’elles soient pertinentes en répondant au risque de la tâche ou de l’activité, qu’elles soient appliquées, et que les anomalies relevées fassent l’objet d’une remontée de l’information et donnent lieu à des actions correctrices.

1.3. Fiabiliser la chaîne de contrôle L’audit permet de s’assurer que le processus de production est cohérent et que le contrôle interne couvre la totalité des processus. En autorisant la possibilité d’un contrôle impromptu des procédures ou du produit, le dirigeant, et les actionnaires, renforcent le poids du contrôle interne.

1.3.1. La chaîne de production est-elle efficiente ? Pour être efficiente, une chaîne de production doit être pensée de façon à optimiser les consommations de ressources par rapport aux biens ou aux services produits. Ceci suppose l’élimination des temps morts et des gaspillages dus à une mauvaise coordination des procédures, à des activités redondantes ou parfois manquantes. Les processus de production évoluent avec le temps : changements d’activité, changements de personnes, modifications réglementaires, etc. Lors de leur conception, les processus de production doivent analyser les relations de causalité de façon à planifier non seulement les ressources et les activités mais également leur ordre d’intégration dans les processus. L’audit s’assure que cette planification des processus est mise en œuvre et qu’elle est adaptée aux évolutions de l’environnement et des activités de l’entreprise. En effet, deux risques sont à craindre : • les évolutions partielles : une partie seulement du processus de production est modifiée. Les conséquences des modifications ne sont étudiées que pour la partie du

processus directement en cause. Certaines conséquences indirectes peuvent compromettre le fonctionnement de l’ensemble du processus ; • la perte de connaissance du processus : la description des modifications effectuées n’est pas faite et la connaissance du processus se perd au fur et à mesure des modifications apportées. C’est un cas assez fréquent dans les réseaux de toute sorte : évacuation des eaux, réseaux électriques et même les réseaux permettant l’accès à des informations privées.

Encadré 2.4 Les coûts des modifications ultérieures La difficulté de maintenance est particulièrement forte dans les applications informatiques. En effet, bien que conçues pour être indépendantes, il existe fréquemment de fortes interactions entre les diverses parties d’une application informatique. Un changement de format d’une base de données peut modifier les adresses des champs informatiques dans d’autres parties du logiciel. Ainsi, le passage à l’an 2000 ou le passage à l’euro ont parfois nécessité des modifications lourdes dans les logiciels. 1.3.2. Le contrôle interne couvre-t-il la totalité de la chaîne de production ? Dans la définition du contrôle interne, nous avons vu que trois approches étaient possibles. L’auditeur devra s’assurer que, quelle que soit l’approche retenue, le contrôle interne mis en place couvre la totalité de l’organisation, de ses processus et de ses ressources et activités. Cette exhaustivité est loin d’être aisée en pratique. En effet, la connaissance de l’entreprise est souvent liée au système de contrôle interne. Si ce dernier a omis (volontairement ou involontairement) une fraction des activités ou des ressources de l’organisation, il peut être malaisé de s’en apercevoir. En effet, la tendance naturelle de l’auditeur est de contrôler ce qu’il a sous les yeux. Aller vérifier que tous les éléments figurent bien dans les éléments qui lui ont été transmis demandent des efforts importants, que ce soit en termes de ressources, de volonté et parfois d’éthique4.

1.3.3. Les faiblesses du contrôle interne sont-elles compensées par des contrôles alternatifs en amont ou en aval ? Un contrôle interne n’est pas fiable à 100 %. Non seulement il ne peut pas l’être mais,

dans certains cas, vouloir s’en rapprocher à tout prix peut être très coûteux5. L’important pour une entreprise ou une chaîne de production est que, globalement, le système de contrôle interne offre une fiabilité proche de 100 %, même si tous les contrôles mis en place ne sont pas efficaces et opérationnels à 100 %. L’audit doit permettre de s’assurer que la déficience éventuelle de certains contrôles est compensée par l’existence d’autres contrôles en amont ou en aval. Un contrôle en amont fiabilise les informations entrant dans le système. Il exige que l’auditeur dispose de moyens d’investigation sur la nature des ressources acquises, non seulement sur leur prix mais également sur leur qualité, voire leur utilité. Un contrôle en aval porte sur les informations qui sortent du système ou de la chaîne de production. Le contrôle est théoriquement plus aisé pour l’auditeur puisque les informations sont essentiellement internes à l’entreprise. En revanche, les informations qu’il obtient en interne présentent un risque plus grand, d’avoir été modifiées ou falsifiées, que des informations fournies par un tiers externe n’ayant pas d’intérêt direct dans le fonctionnement de l’organisation.

2. Les auditeurs Les auditeurs sont les auteurs de l’audit, ceux qui s’assurent de la conformité du bien, du service ou processus aux normes de référence. Mais, cette attente de conformité est étroitement dépendante du cadre que l’on se donne. Dans le cas des états financiers d’une entreprise cotée, l’audit vise à certifier la conformité de la présentation des états financiers aux normes comptables en vigueur. Sachant que les états financiers sont produits sous la responsabilité du dirigeant, les auditeurs doivent avoir la plus grande indépendance possible vis-à-vis des dirigeants de l’entreprise qu’ils auditent. La solution consiste à imposer le recours à un cabinet d’audit externe à l’entreprise auditée. Une autre solution aurait pu consister à établir un corps de fonctionnaires habilités à assurer l’audit des entreprises (sur le modèle de la Cour des comptes et des chambres régionales des comptes pour les organismes publics et les collectivités territoriales). Même en retenant le modèle de marché des auditeurs externes, le choix des auditeurs ou la détermination de leur rémunération auraient pu reposer davantage sur les actionnaires ou sur l’ensemble des parties prenantes de chaque entreprise. Historiquement, l’audit externe s’est construit autour d’un modèle de marché où l’auditeur est choisi par les dirigeants (même si ce choix doit ensuite être approuvé par les actionnaires) et où sa rémunération est négociée avec les dirigeants (même si l’État a pu introduire des contraintes légales). Mais, à côté de cet audit externe destiné à offrir une certaine assurance à des tiers externes à l’organisation, il existe également d’autres formes d’audit, soit contractuelles

(pour la réalisation d’une mission ponctuelle au bénéfice de l’entreprise ou de ses dirigeants), soit internes. En effet, les dirigeants peuvent éprouver la nécessité de disposer d’employés spécialisés dans le contrôle du système de contrôle interne et dans la formalisation des procédures de contrôle interne. Dans ce cas, les normes de référence ne sont plus les normes légales, elles sont les normes que l’entreprise se donne. Ces normes peuvent être légales, contractuelles ou simplement construites de façon ad hoc pour répondre à des problématiques propres à l’entreprise, à son secteur d’activité ou à ses parties prenantes.

2.1. La certification, expression d’une opinion devant les actionnaires et les tiers Le cabinet d’audit répond au besoin de sécurité des actionnaires, des créanciers des clients, des salariés et des autres tiers. Il engage sa responsabilité sur l’expression de son opinion.

2.1.1. Le besoin de sécurité La plupart des individus ayant une aversion au risque, la réduction de l’incertitude liée à l’intervention d’un cabinet d’audit permet d’accroître la satisfaction et le bienêtre économique des différentes personnes participant à la vie de l’entreprise. Le risque pour l’actionnaire provient de l’incertitude sur les résultats futurs de l’entreprise (les flux de liquidité futurs, les cash-flows). Cette incertitude est renforcée par l’opacité des informations fournies ou par leur absence de fiabilité (par exemple, une entreprise qui annonce en juin N un résultat largement positif pour l’exercice N et qui, en mars N+1, constate une perte au titre de l’exercice N). Le besoin de transparence et d’information que manifestent les marchés boursiers et, à travers eux, que demandent les actionnaires, résulte du désir de réduire le risque à la seule incertitude non diversifiable, celle qui dépend de l’évolution économique et qu’on retrouve dans l’évolution générale du marché boursier. Le besoin de sécurité des institutions financières et des créanciers porte sur la capacité de l’entreprise à rembourser ses dettes (principal et intérêts). Les apporteurs de capitaux sont particulièrement vigilants sur la situation patrimoniale de l’entreprise, c’est-à-dire sur la valeur de réalisation de l’actif net. Le besoin de sécurité des fournisseurs porte sur deux éléments complémentaires : la trésorerie de l’entreprise (sa capacité à honorer à court terme ses échéances commerciales) et la rentabilité à moyen terme (c’est-à-dire sa pérennité en tant que débouché commercial). Ainsi, le risque pour un sous-traitant de constructeurs automobiles est le risque de cessation de paiement d’un constructeur, mais il est aussi

celui d’une rupture commerciale. La perte d’un donneur d’ordres peut signifier, sinon la cessation d’activité, du moins une période de restructuration très sévère, et souvent la perte du contrôle de l’entreprise pour le dirigeant ou les actionnaires. Pour sélectionner leurs fournisseurs, les entreprises clientes privilégient la qualité du produit, le prix, mais également la pérennité de l’entreprise, notamment pour assurer le service après-vente et la maintenance. L’audit du système organisationnel ou des états financiers permet aux clients de s’assurer de la pérennité de leur source d’approvisionnement. Les salariés sont dans une situation différente de celle des autres fournisseurs de biens et services. Ils accordent comme eux un délai de règlement : les salaires sont payés le plus souvent en fin de mois ou en début de mois suivant, et les congés payés ne sont pris qu’avec plusieurs mois de retard par rapport à l’acquisition de leurs droits. Mais le versement des salaires et des droits acquis constitue juridiquement une dette prioritaire pour l’entreprise. Le risque principal des salariés n’est donc pas le défaut de paiement de l’entreprise, mais la rupture du contrat de travail (qui peut, elle-même, résulter de la cessation de paiement de l’entreprise). En cas de difficultés économiques, l’entreprise peut réduire ses sorties de trésorerie (en différant ses paiements) ou accroître ses rentrées (en escomptant ses créances). En recourant à la fraude, l’entreprise peut aussi enregistrer un faux chiffre d’affaires et générer de fausses créances. Les auditeurs limitent ces risques par les travaux qu’ils effectuent et la publicité qui est donnée à leur certification des comptes.

2.1.2. La responsabilité Si les dirigeants sont responsables de la qualité du produit réalisé, les auditeurs sont responsables de l’opinion qu’ils émettent sur la qualité du produit audité. Cette responsabilité est néanmoins limitée à une obligation de moyens : la réalisation des diligences normales. L’auditeur n’a pas pour fonction de réaliser le produit. Son rôle n’est pas non plus de mettre en place les procédures de contrôle interne destinées à garantir la fiabilité du processus de production, ni même de s’assurer de leur bon fonctionnement. Ces tâches incombent aux dirigeants. L’auditeur est responsable de l’opinion qu’il émet sur la conformité du produit. Pour émettre son opinion, il doit s’appuyer sur les normes professionnelles, mais son opinion finale (la certification) ne résulte pas d’un processus mécanique, automatique. Dans la certification, l’auditeur s’engage et porte un jugement. Par exemple, pour l’audit des états financiers, l’auditeur se prononce sur l’image fidèle de l’entreprise que les états financiers donnent. Autant la réalisation des états financiers engage les dirigeants, autant l’expression d’une opinion sur la sincérité, la régularité et l’image fidèle des comptes

est du ressort de l’auditeur. Celui-ci juge la conformité du produit fini, même si, pour ce faire, il a dû auditer le processus de production de l’information comptable et financière et tester les procédures de contrôle interne. Un jugement a toujours un caractère subjectif et il engage celui qui l’émet. Mais le jugement est fondé sur des éléments objectifs : des entretiens, des analyses, des justifications, des tests... La responsabilité civile de l’auditeur n’est engagée que dans deux situations : • s’il n’a pas accompli les diligences requises pour l’exercice de sa mission. Ces diligences varient selon la nature de la mission, le cadre contractuel ou légal, l’activité de l’entreprise... Cette situation relève habituellement de la compétence et de la formation de l’auditeur ; • si, au vu des anomalies relevées, il a considéré que le produit était conforme alors que, manifestement, il ne l’était pas. Cette situation relève principalement de l’indépendance de l’auditeur, dans la mesure où, si l’auditeur relève des anomalies significatives, il doit avoir le courage d’émettre un jugement en accord avec ses observations et, éventuellement, accepter de perdre son mandat d’auditeur et les honoraires qui y sont liés6. L’auditeur a une obligation de moyens. Il doit mettre en œuvre les contrôles nécessaires pour s’assurer de la conformité du produit. Mais il n’a pas une obligation de résultat. Sa certification n’est pas une assurance parfaite contre le risque de nonconformité du produit audité. Il est possible que des fraudes aient été commises sans être découvertes par l’auditeur. En cas de différends sur la qualité du processus d’audit et sur la responsabilité de l’auditeur, ce sont les tribunaux qui déterminent si l’auditeur a ou non rempli son obligation de moyens. En France, les jugements sont plutôt favorables aux auditeurs. À l’inverse, aux États-Unis, la condamnation de l’auditeur est recherchée pour obtenir des compensations financières très significatives.

2.2. La responsabilité du processus d’audit Le cabinet d’audit est un prestataire de services ayant une forte spécialisation. Il réalise une activité nécessitant des compétences et des connaissances approfondies. Afin de garantir la qualité de sa certification, il dispose d’un contrôle interne très poussé reposant sur la structure pyramidale de l’organisation.

2.2.1. Le cabinet d’audit est un prestataire de services Un cabinet d’audit peut adopter différentes formes juridiques. L’auditeur peut exercer à titre individuel, aidé éventuellement de salariés, ou il peut exercer dans le cadre d’une société. Cette société peut revêtir la forme de société d’exercice libéral, de

société en participation, de société civile, de société anonyme ou de société à responsabilité limitée. L’activité d’audit est par nature civile et non commerciale. Elle consiste en prestations intellectuelles qui ne se matérialisent que sous la forme de rapports écrits remis au client. En France, comme pour la plupart des pays non anglo-saxons, les cabinets d’audit se sont développés à partir de deux origines distinctes : l’exercice de la profession de commissariat aux comptes et l’audit contractuel des cabinets anglo-saxons. Ces derniers se sont implantés en France en accompagnant les groupes internationaux. Ils ont apporté leur savoir-faire et leurs méthodes rigoureuses d’audit. Par la suite, ils se sont développés en réalisant des acquisitions de cabinets locaux et en fusionnant, soit entre eux, soit avec leurs gros concurrents locaux. La nécessité pour les groupes internationaux de disposer d’une signature d’audit reconnue et de pouvoir faire auditer leurs filiales partout à l’étranger par le même réseau d’audit a renforcé la nécessité d’une taille critique et a renforcé la concentration du marché de l’audit. Pour la France, on observe plusieurs modèles de développement. Par exemple, le cabinet Deloitte, fondé historiquement en 1845 à Londres, s’est progressivement implanté en France avant de reprendre deux grands cabinets français (BDO Marque et Gendrot, en 2006 et Constantin Associés, en 2007). À l’inverse, le cabinet KPMG est issu du rapprochement entre la Fiduciaire de France (créée en 1922 à Grenoble), membre du réseau KMG, et Peat Marwick International en 1986, avant de reprendre le cabinet Salustro Reydel en 2005. Dans les années 1980, le marché s’est fortement développé sous l’impact des besoins de consolidation et de l’ouverture des marchés de capitaux. Durant les années 1990, le marché de l’audit a continué de croître mais moins rapidement qu’auparavant. Les cabinets d’audit ont recherché des relais de croissance dans les activités de conseil, notamment auprès des PME. Depuis les années 2000, et à la suite de la disparition du réseau Arthur Andersen (dont les associés ont rejoint les autres réseaux d’audit après la faillite d’Enron), la concentration des grands réseaux d’audit s’est arrêtée. Désormais, dans le monde, les quatre principaux réseaux d’audit sont : En milliards de $

Pwc

Deloitte

Ernst & Young KPMG

Chiffre d’Affaires 2015 (CA 2008), évolution %

35,4 (28,1) 35,2 (27,4) 28,6 (24,5) +25 % +28 % +16 %

24,4 (22,7) +7 %

Dont CA audit 2015 (CA audit 2008), évolution % 15,2 (13,8) 9,8 (12,7) +10 % -23 %

11,3 (13,7) -18 %

10,0 (10,7) -7 %

Effectif 2015

212 000

174 000

208 000

225 000

Ces réseaux d’audit ont connu des fortes croissances dans le passé mais, sur la période récente, ce n’est plus l’activité d’audit qui tire la croissance (pour trois des

quatre grands réseaux, le chiffre d’affaires de l’activité audit est en diminution entre 2008 et 2015). L’activité conseil reste très dynamique. Elle avait conduit, en 1989, le réseau Arthur Andersen à se scinder entre l’activité audit restée Arthur Andersen (et disparue en 2002 des suites de l’affaire Enron) et l’activité conseil, devenue par la suite Accenture (31 milliards de $ de revenus en 2015 et 350 000 employés, entreprise cotée en Bourse). Le phénomène majeur de ces dernières années est la contradiction entre la volonté des législateurs de séparer les activités d’audit et de conseil, pour renforcer l’indépendance des auditeurs, et la réalité du marché où la diminution des revenus en audit est compensée par la croissance des activités de conseil. La plupart des cabinets exercent à la fois des activités d’expertise comptable, de conseil et de commissariat aux comptes. La contrainte juridique est l’interdiction de la fourniture de prestations de conseil (et a fortiori de prestations comptables) à des sociétés faisant l’objet d’une mission d’audit. Si les honoraires d’audit ne sont pas en croissance, ils offrent une certaine stabilité et des taux horaires généralement supérieurs à ceux des activités d’expertise comptable.

2.2.2. La structure d’un cabinet d’audit La certification émise par le cabinet d’audit repose sur des procédures très fortes de supervision des collaborateurs par les associés. Un cabinet d’audit a trois actifs principaux : ses méthodes de travail (mais elles tendent à s’uniformiser), ses collaborateurs (mais la mobilité professionnelle et le taux de rotation sont très élevés), et son image de marque. Celle-ci dépend de la valeur que les entreprises et les tiers accordent à l’expression de son opinion. Pour les raisons énoncées précédemment, l’activité d’audit n’est pratiquement plus exercée sous forme individuelle. En société, les propriétaires du cabinet d’audit sont les associés. Ce sont eux qui signent les rapports d’audit au nom du cabinet. Ce sont eux également qui assurent le respect des normes d’audit dans la réalisation des dossiers de travail établis par les collaborateurs. Ce sont eux qui sont responsables des missions d’audit. Les collaborateurs sont les salariés qui exécutent les tâches liées à la mission d’audit. Sous la direction d’un associé qui planifie la mission et règle les rapports avec le client, les collaborateurs établissent les dossiers de contrôle, réalisent les tests et formalisent les résultats.

Graphique 2.1 Structure d’un cabinet d’audit

Au sein des collaborateurs, il existe une forte hiérarchie liée à la nécessité de formaliser les travaux réalisés, de contrôler la rigueur avec laquelle ils ont été faits, et de faciliter la remontée des informations. L’associé est responsable de l’opinion émise sur les comptes. Pour la gestion de la mission d’audit, il délègue une partie de ses fonctions au manager qui planifie et oriente la mission. Le manager prévoit les dates d’intervention, les collaborateurs intervenants, l’orientation générale de la mission. À l’issue des contrôles, il revoit entièrement le dossier de travail. Le chef de mission est responsable du bon déroulement de la mission d’audit chez le client. Il anime l’équipe d’assistants, les guide et les corrige, il contribue aux travaux de contrôle les plus difficiles. Au cours de la mission, il établit les synthèses des travaux effectués et des anomalies relevées, il gère les rapports quotidiens avec les cadres et les employés de l’entreprise cliente. Les assistants réalisent les tests et le contrôle des procédures et des comptes sous la supervision directe du chef de mission. L’organisation très formelle et très hiérarchisée des cabinets d’audit permet de garantir une bonne supervision et un contrôle approfondi des missions d’audit. Chaque collaborateur connaît sa fonction et sa mission. Chacun est évalué sur la qualité de ses travaux ou de sa supervision, et cette évaluation conditionne la rémunération, le maintien au sein du cabinet d’audit et la promotion. Tout collaborateur entrant dans un cabinet d’audit a la possibilité de devenir un jour associé. Mais les échelons supérieurs allant en se raréfiant (système pyramidal), cela crée une forte émulation entre les collaborateurs pour être promu. Cette concurrence renforce la qualité tant des travaux de base d’audit que de la supervision. Une supervision incomplète et des erreurs non relevées constituent une faute grave puisque susceptible d’entraîner la certification de comptes erronés.

2.2.3. Les relations entreprise/cabinet d’audit La réalisation d’une mission d’audit ne donne lieu qu’à l’émission d’un nombre restreint de documents à l’usage du client. Les trois principaux types de documents sont la lettre de mission, la facturation et les rapports écrits qui mentionnent les faiblesses relevées dans le système de contrôle interne et la nature de la certification ou les raisons de l’absence de certification ou de certification avec réserves. La lettre de mission précise au client les conditions d’intervention : durée, mode de rémunération de la prestation, rapports remis, objectifs poursuivis, moyens à mettre à la disposition des collaborateurs. Cette lettre doit être signée par le client et retournée au cabinet d’audit, elle constitue la base de l’engagement contractuel. La facturation est fonction du temps passé par les collaborateurs du cabinet et de leur niveau hiérarchique (qui conditionne le taux de facturation). Pour les missions légales de commissariat aux comptes, il existe un barème indiquant un nombre d’heures théoriques selon la taille de l’entreprise. Dans les missions d’audit contractuel, il s’agit d’une négociation libre entre le client et le cabinet. Généralement, la lettre de mission prévoit des honoraires annuels. Le cabinet suit, en interne, le coût de sa mission en collectant auprès des collaborateurs des fiches de temps. Celles-ci décomposent le temps passé par chaque collaborateur sur les différents dossiers clients, sur lesquels il est intervenu, ou sur le compte du cabinet, quand il s’agit d’activités générales non facturables : formation, documentation, etc. Les temps passés sont valorisés à l’aide d’un taux de facturation interne qui comprend le coût horaire de la rémunération des collaborateurs, une quote-part correspondant au temps non facturable et une quote-part des frais généraux du cabinet. L’associé peut suivre l’évolution des facturations internes par dossier client et effectuer le rapprochement avec les honoraires négociés. Les autres rapports écrits sont le rapport de certification des comptes (ou du produit, s’il ne s’agit pas des états financiers), et la lettre de recommandation. Celle-ci reprend les principales anomalies relevées et mentionne en exergue les recommandations destinées à réduire ou supprimer ces anomalies. La lettre de recommandation est un instrument privilégié car, en dehors du rapport de certification, elle constitue l’unique document susceptible d’apporter une valeur ajoutée au client en lui permettant non seulement de prendre connaissance des faiblesses de son système de contrôle interne mais également d’y remédier.

2.3. La distinction entre audit externe et audit interne Le service d’audit interne a pour principale fonction de contrôler, d’améliorer et de

fiabiliser les procédures de contrôle interne. Il est composé de salariés de l’entreprise dépendant hiérarchiquement des dirigeants. Il est généralement rattaché à la direction générale (parfois à la direction financière) de l’entreprise ou du groupe. Il assure également l’homogénéisation des procédures de contrôle interne.

2.3.1. L’audit interne : des salariés de l’entreprise au service des dirigeants, du comité d’audit ou du conseil d’administration Le pouvoir d’investigation du service d’audit interne dépend des fonctions et des missions qui lui sont dévolues par les dirigeants ou par le comité d’audit. Les personnes recrutées pour exercer les fonctions d’audit interne ont une formation similaire à celle des collaborateurs de cabinets d’audit ; ils en sont souvent issus. La constitution d’un service d’audit interne se justifie en particulier par la taille et la complexité de l’entreprise. Pour les grandes entreprises disposant de nombreuses filiales nationales ou internationales, l’audit interne permet de s’assurer que toutes les sociétés membres du groupe mettent en place les procédures définies par la société mère et que la transmission des informations s’effectue correctement. Le service d’audit interne exerce pleinement ses fonctions quand il est rattaché à un comité d’audit composé d’administrateurs externes à l’entreprise. Le comité d’audit, rendu obligatoire aux États-Unis par la loi Sarbanes-Oxley, regroupe des administrateurs choisis pour leur compétence particulière et leur indépendance. Il a pour objet de s’assurer du bon fonctionnement de l’organisation et du respect des normes de contrôle interne. Par conséquent, le service d’audit interne permet au comité d’audit de disposer de ressources humaines pour effectuer les investigations estimées nécessaires. Cette vision idyllique d’un service d’audit interne au service des administrateurs est rarement observée en raison des relations hiérarchiques qui relient les auditeurs internes aux dirigeants. Le service d’audit interne est soumis à la direction générale. Celle-ci peut lui confier des missions très diverses et très pointues sans avoir à se soucier de l’opinion des tiers puisque ceux-ci n’ont pas connaissance des conclusions de l’audit interne. Loin d’être un organe indépendant de contrôle de l’organisation, l’audit interne est souvent un service contribuant à la formation des hauts potentiels de l’entreprise. En effet, l’auditeur interne dispose d’une connaissance particulière des procédures et des contrôles qui structurent toute organisation. Le service d’audit interne jouit, en interne, d’un pouvoir d’investigation plus étendu que l’auditeur externe car il n’est pas limité aux procédures d’information comptable ou financière. Enfin, la dernière spécificité des auditeurs internes est leur relative permanence. Alors que les collaborateurs d’un cabinet d’audit tournent tous les deux ou trois ans sur les dossiers, les auditeurs internes accomplissent souvent leur mission

pendant cinq ans avant d’obtenir une direction opérationnelle dans l’une des filiales du groupe. Aujourd’hui, les directions administratives et financières de filiales de groupes internationaux sont souvent occupées par d’anciens auditeurs internes.

2.3.2. L’audit interne : des salariés de l’entreprise assurant l’application des procédures à l’ensemble des entreprises du groupe Dans les groupes, il existe soit une pluralité d’activités, soit un découpage des fonctions de production entre les différentes sociétés. La direction générale du groupe conçoit les procédures, les services et les logiciels qui doivent être appliqués à toutes les filiales. Le rôle du service d’audit interne est de s’assurer de leur conformité et de leur bonne application. Contrairement aux auditeurs externes, les services d’audit interne peuvent jouer un rôle significatif dans la définition des procédures et des mécanismes de contrôle interne et ils peuvent participer à leur mise en place. Sur les marchés, la coordination et l’allocation des ressources s’effectuent selon les prix relatifs des différents biens et services. Pour que cette allocation puisse être faite de façon efficiente, le marché doit disposer de l’ensemble des informations relatives aux produits. La contrepartie de cette efficience des marchés est donc l’exigence de transparence ou de disponibilité de l’information. La nature et le prix des ressources consommées doivent être accessibles à tous les intervenants sur le marché. À l’inverse, l’entreprise peut gérer des informations confidentielles et les exploiter pour en tirer un avantage concurrentiel. Le service d’audit interne est un outil de maintien de la confidentialité et de garantie de la pérennité de l’information.

2.4. Éthique et indépendance L’audit étant la vérification de la conformité d’un produit, d’un service ou d’un processus à une norme, il ne fait apparemment pas appel à des jugements de valeur mais à des faits : sur tel ou tel aspect, le produit est-il conforme ? En apparence, l’audit est un processus scientifique ; il colle à la réalité des faits observés et au respect des normes prescrites. Pourtant, deux éléments viennent affecter ce processus scientifique. L’un tient à la différence entre le tout et les parties, ce qui correspond à la différence entre une approche analytique et une approche systémique. L’autre tient au mode de réalisation de l’audit qui fait appel à une personne humaine.

2.4.1. L’approche systémique La conformité d’un bien, d’un service, ou d’un processus se mesure par la conformité à un certain nombre de points de contrôle. Par exemple, pour la production d’une pièce en métal, les points de contrôle vont porter sur le respect des cotes avec la fixation de seuils de tolérance. Mais les points de contrôle vont aussi porter sur le respect de la

composition de l’alliage utilisé (avec des tolérances) et des caractéristiques mécaniques ou chimiques liées au mode de fabrication de la pièce (par exemple, la résistance à la rupture ou à la corrosion). Les normes sont spécifiées pour, in fine, aboutir à un produit qui remplisse parfaitement la fonction qui lui est dévolue. La fixation des seuils de tolérance prend en compte les interactions possibles entre les différents points de contrôle, mais elle a souvent du mal à les modéliser ou à les mesurer. L’approche systémique consiste à prendre un peu de recul par rapport à l’ensemble des points de contrôle analytiques pour s’intéresser à la conformité globale du produit, du service ou du processus. À partir des divers points d’écart à la norme relevés, et sous réserve qu’aucun point de contrôle individuel n’ait dépassé le seuil de tolérance fixé, l’auditeur devra évaluer la conformité globale : l’ensemble des écarts (individuellement acceptables) conduit-il à un produit conforme à ce qui est attendu ? Une approche parfaitement scientifique (et qui exclurait tout appel au jugement humain) supposerait la capacité à appréhender, a priori, la totalité des caractéristiques du produit à auditer en mesurant parfaitement toutes les interactions possibles. Une telle démarche est déjà extraordinairement difficile à mettre en œuvre dans des activités particulièrement sensibles comme le nucléaire (par exemple, les cuves destinées au confinement de l’uranium radioactif présentent toujours des micro-fissures ; à partir de quel seuil rejeter une cuve comme non-conforme ?). Mais, surtout, la perfection est non seulement impossible à atteindre empiriquement, mais elle est également impossible à atteindre théoriquement en raison même de la composition de la matière.

S’il est impossible de saisir (ou de mesurer) les limites de la matière, et s’il est nécessaire d’appréhender un produit dans sa globalité, le jugement humain reprend tout son sens puisqu’il permet de faire la synthèse d’un ensemble d’informations qui, dans leur globalité, ont une signification différente de leur simple addition ou multiplication.

Encadré 2.5 Les limites imposées par la mécanique quantique aux démarches analytiques « Pendant la seconde moitié du XIXe siècle, la matière semblait être la chose permanente à laquelle nous pouvions nous attacher. […] Aux yeux du physicien, cette matière était soumise à des lois rigides […] On pouvait prédire son comportement7 » (p. 32). En matière d’audit, cette conception de la matière signifiait qu’il était possible d’avoir une vision globale de la matière (d’un produit) dès que l’on disposait à la fois d’une connaissance parfaite des lois qui gouvernaient la matière et d’un certain nombre de points de mesure (d’observations). « Nous avons été obligés de renoncer à l’idée qui fait d’une particule une entité individuelle dont l’°“identité” subsiste en principe éternellement. Bien au contraire, nous sommes actuellement obligés d’affirmer que les constituants ultimes de la matière n’ont aucune “identité” » (p. 37). Contrairement aux visions scientifiques du XIXe siècle, la matière ne peut pas se décomposer parfaitement en agrégats élémentaires qui feraient l’objet de mesures extraordinairement fines, car les particules élémentaires ne peuvent pas être appréhendées comme des corps qui auraient les mêmes caractéristiques que les corps que nous connaissons humainement. En matière d’audit, cela signifie que le contrôle de la conformité d’un produit ne peut pas se faire en décomposant analytiquement toujours davantage le produit. En effet, cette décomposition finit par arriver sur un non-être (quelque chose qui n’a pas d’identité) ou sur un non-sens. Chacun peut d’ailleurs effectuer le même type de travail sur un texte. Il est possible d’effectuer des travaux d’exégèse et d’étude de la structure du texte, de la grammaire et des mots mais, à un certain niveau de détail, une décomposition trop poussée du texte aboutit à un non-sens.

« Dans les corps tangibles, composés de nombreux atomes, l’individualité provient de la structure de leur assemblage, de la figure ou de la forme, ou encore de l’organisation » (p. 39). La thèse d’Erwin Schrödinger (prix Nobel de physique en 1933) est que la matière se caractérise avant tout par son assemblage, sa forme, son organisation, et non par les particules élémentaires qui la composent. En termes d’audit, cela signifie que la conformité d’un produit ne peut pas être recherchée par une démarche de décomposition toujours plus poussée, mais qu’elle doit passer par l’audit de la forme et des interactions. C’est d’ailleurs ainsi que procèdent les industriels. Dans une démarche de qualité de leurs produits, ils mesurent des éléments de composition et des éléments de forme. 2.4.2. Le jugement humain Introduire le jugement humain dans un processus de vérification de la conformité d’un produit à des normes, c’est s’exposer à introduire dans le processus d’audit un certain nombre de biais non scientifiques. En effet, si l’on considère que la science repose sur la capacité de reproduction à l’identique, force est de constater que, par nature, le jugement humain s’écarte de la science. Le jugement humain, c’est la capacité à introduire des nuances dans l’examen de produits, de services, ou de processus apparemment identiques. Et ce sont ces nuances qui détermineront, in fine, l’acceptation ou le rejet du produit. Accepter qu’un audit repose sur un jugement qui n’est pas parfaitement modélisable rend possibles des écarts liés à la pertinence du jugement. L’auditeur a-t-il eu raison de porter tel ou tel jugement par rapport à une démarche plus mathématique qui aurait reposé sur une fonction mathématique des différents écarts relevés ?

Encadré 2.6 Le recours au jugement humain dans des processus techniques Dans le cas du contrôle technique des automobiles, les points de contrôle ont été conçus pour interdire à l’opérateur tout jugement humain. Certains points sont considérés comme nécessitant des corrections immédiates et, par conséquent, comme donnant lieu à une contre-visite ; d’autres points sont signalés mais sans obligation

immédiate de réparation. En réalité, le jugement humain réapparaît par les interstices, que ce soit dans la façon de réaliser le contrôle technique (par exemple, faire tourner le moteur quelque temps avant d’effectuer les mesures de pollution) ou dans la réalisation de certains contrôles qui reposent sur le visuel ou le manuel (la tension de ceintures de sécurité). Dans le cas de l’évaluation du risque de crédit pour des opérations de prêt bancaire, les conseillers bancaires disposent d’applications informatiques permettant de calculer rapidement un niveau de risque associé à un client. Néanmoins, chaque conseiller bancaire dispose d’une latitude plus ou moins grande pour accorder ou refuser un prêt en fonction du score de ses clients. Le jugement humain est maintenu, même s’il est encadré par des outils mathématiques de mesure du risque. Si le jugement humain s’avère nécessaire pour appréhender ce que des modèles scientifiques s’avèrent incapables d’intégrer, il entraîne avec lui des risques supplémentaires. En effet, le jugement humain n’est pas modélisable (au sens déterministe du terme) même s’il est probabilisable. En introduisant le jugement humain, on introduit explicitement l’interaction entre l’objet de l’audit et le jugement de l’auditeur. Ce dernier peut être influencé par des facteurs qui n’auront aucun rapport direct avec l’objet audité. Par exemple, un auditeur qui connaît par ailleurs des difficultés affectives aura un jugement différent de celui d’un auditeur plus serein8. Autrement dit, pour un même produit, il est possible d’avoir deux jugements humains qui aboutissent à des verdicts contradictoires. Cette situation n’est pas nouvelle, c’est celle qui a permis de structurer nos institutions de justice en élaborant des systèmes de cours d’appel et de cour de cassation pour assurer une relative homogénéité entre des décisions de justice relevant de jugements humains. Mais le jugement humain repose aussi sur des valeurs et non seulement sur des normes. Pour apprécier une conformité globale qui dépasse la conformité analytique, l’auditeur s’appuie sur un référentiel de valeurs, dont certaines lui sont propres et d’autres émanent de son environnement professionnel.

2.4.3. Déontologie et éthique personnelle La déontologie est la conformité aux codes de valeurs véhiculées par la profession de l’auditeur. Cette déontologie est de plus en plus fréquemment écrite. Elle devient une norme de comportement pour l’auditeur, ce qui signifie que l’auditeur doit répondre à

une exigence de conformité qui peut elle-même faire l’objet d’un contrôle (d’un audit). Mais l’auditeur a également son propre système de valeurs, son éthique, qui va le conduire à prendre des positions ou à poser des jugements qui pourront différer de ceux de ses collègues. Ce système d’éthique dépend de multiples facteurs, notamment la culture, l’éducation familiale, le mode de vie, etc. Lors des grands scandales comptables ou financiers, il est fréquent de voir des hommes ou des femmes politiques insister sur la perte de l’éthique ou sur la nécessité d’enseigner l’éthique. Il est vraisemblable que l’éthique ne s’enseigne pas, mais qu’elle s’exerce et qu’il existe des environnements plus ou moins propices aux développements de certaines formes d’éthique. Autant l’éthique (autrefois dénommée honneur) jouait un rôle très important jusqu’à l’avènement du monde industriel, autant aujourd’hui, il semblerait qu’elle ne soit qu’un sous-produit nécessaire à la croissance économique mais dépourvu de toute finalité humaine. On peut ainsi s’interroger sur la pertinence des codes professionnels qui instrumentalisent l’éthique au service de finalités qui sont rarement pleinement explicitées. Par exemple, quand on considère que l’éthique est un élément central du contrôle interne ou de l’audit, on place l’éthique en tant qu’instrument au service du contrôle interne ou de l’audit. On pourrait penser que c’est la relation inverse qui devrait prévaloir et qu’un des objets du contrôle interne et de l’audit consiste justement à renforcer l’éthique, c’est-à-dire le respect de l’autre (personne humaine et environnement naturel) dans la réalisation des produits, des services ou des processus.

3. L’approche par les risques Si l’audit consiste à vérifier la conformité d’un produit à un ensemble de normes, pourquoi s’intéresser à la question des risques ? Deux raisons principales peuvent être mises en avant. La première, c’est que l’objet de l’audit n’est pas la conformité (la conformité n’est que le moyen) mais l’adéquation du produit aux attentes des acteurs. La question fondamentale est donc : le produit ou le service permet-il de répondre aux attentes de ses utilisateurs, le processus permet-il d’aboutir au résultat espéré ? La conformité aux normes n’est que le moyen, le raccourci. Parce que l’on suppose qu’un produit conforme va répondre aux attentes de ses utilisateurs, l’audit va prioritairement s’attacher au contrôle de la conformité aux normes. Il subsiste toujours un écart entre la conformité aux normes et la satisfaction des attentes des utilisateurs. En matière d’audit des états comptables et financiers, cet écart est dénommé en anglais expectation gap. Entre le travail que fournissent les auditeurs (et qui se traduit par la certification des comptes) et les attentes des utilisateurs des états financiers, il existe une forme d’incompréhension. Les utilisateurs attendent une

garantie sur la pérennité de l’entreprise et sur sa capacité à assumer ses engagements ; les auditeurs offrent la certification d’une conformité aux normes comptables en vigueur. Cet expectation gap apparaît de façon particulièrement forte : quand des entreprises font faillite alors que leurs comptes étaient certifiés sans réserve (ce fut le cas d’Enron ou de Lehman Brothers), ou quand elles rendent publiques des pertes sur exercices antérieurs ou des pertes liées à des opérations antérieures (comme ce fut le cas pour les opérations réalisées par la BNP en violation de l’embargo des États-Unis et qui ont conduit à une amende approchant les 10 milliards de dollars). L’approche par les risques est supposée identifier les principaux risques auxquels toute entreprise est confrontée, que ce soit en raison de sa taille, de sa structure juridique ou de propriété, de son organisation, de ses systèmes de pilotage ou d’exploitation, et tout simplement de son secteur d’activité et des milieux dans lesquels elle exerce son activité. Mais l’approche par les risques répond aussi à un autre objectif qui est lié au processus d’audit lui-même et non aux attentes des utilisateurs du produit audité. En effet, le contrôle exhaustif de la conformité supposerait de vérifier tous les éléments concourant à la réalisation du produit final. Dans le cas des productions de grande série, l’audit systématique des points de conformité pourrait signifier des coûts de contrôle supérieurs aux coûts de production. De même, dans le cas de l’audit des états financiers, les contrôles devraient porter sur chacune des écritures comptables pour s’assurer de leur réalité, de leur exhaustivité et de leur juste valorisation. Une telle démarche analytique repose sur l’idée que le contrôle des éléments constitutifs du produit final permet de valider le produit final lui-même. Comme nous l’avons expliqué précédemment, l’approche systémique et la physique moderne ont démontré qu’il existait une différence entre le système et ses composants. Un système (ou un produit) ne se réduit pas à la somme de ses parties, il existe un jeu complexe d’interactions qui ne peut pas être appréhendé par un découpage analytique toujours plus fin. Certains risques inexistants ou non significatifs au niveau des composants peuvent devenir majeurs dès lors que l’on intègre les interactions possibles entre une multitude de facteurs.

Encadré 2.7 L’analyse erronée des crédits immobiliers titrisés aux États-Unis La bulle immobilière qui a explosé aux États-Unis en 2007 n’était pas totalement irrationnelle. Elle a trouvé ses fondements : –dans la politique de liquidités (et de taux d’intérêt bas) mise en place

par le gouvernement américain à la suite de l’explosion de la bulle boursière liée à la nouvelle économie ; –dans la politique d’accession à la propriété pour le nombre le plus large possible de ménages américains ; –dans les mécanismes financiers de refinancement des prêts immobiliers reposant sur des hypothèques ; –dans la poursuite frénétique du profit par un certain nombre d’acteurs opérant sur ces marchés immobiliers et financiers. Alors qu’a posteriori, le krach immobilier semblait inévitable, au moment des faits, les acteurs pouvaient se convaincre que le système était capable de se gérer lui-même. En effet : –les crédits immobiliers étaient assis sur des hypothèques (la valeur des biens immobiliers sur un marché immobilier considéré comme durablement haussier) ; –le risque faisait l’objet d’une diversification optimale sur la base des séries statistiques historiques observées aux États-Unis ; –les crédits immobiliers titrisés (c’est-à-dire agglomérés et redécoupés ensuite en tranches) faisaient l’objet de placements différenciés en fonction de leur niveau de risque de défaillance. Selon les modèles en place, chaque intervenant pouvait arbitrer sur le niveau de risque accepté et sur la rentabilité attendue. Le refinancement des crédits immobiliers permettait de réintroduire des financements sur le marché immobilier, ce qui contribuait au dynamisme du marché immobilier et de la construction et, indirectement, au dynamisme de l’économie américaine. Des ménages qui auraient été obligés de louer indéfiniment leur habitation pouvaient bénéficier de ces crédits pour accéder à la propriété. Deux facteurs n’ont pas été appréhendés dans les modèles économiques. Le premier est le caractère historique des séries statistiques. Le futur n’est pas simplement la répétition du passé. Des actifs qui présentaient de faibles corrélations statistiques dans le passé (par exemple, les taux de défaillance, de non-remboursement, étaient historiquement peu corrélés pour les marchés immobiliers régionaux :

le marché immobilier de New-York ne connaissait pas les mêmes cycles que le marché de la Floride ou de la Californie) ont pu brutalement présenter des cycles corrélés (une augmentation brutale des taux de non-remboursement à travers tout le territoire des États-Unis). Quand les actifs sont peu corrélés, il est possible de réduire le risque financier en favorisant la diversification des actifs. Quand les actifs sont fortement corrélés, la diversification non seulement s’avère inutile financièrement, mais, de surcroît, elle rend plus difficile l’identification des risques (puisque les actifs ont été mélangés, découpés, recomposés, redécoupés) et la mise en œuvre de procédures de contrôle rectificatives. La diversification à l’extrême, non seulement n’a pas réduit les risques, mais elle a introduit une confusion à tous les niveaux sur la responsabilité des différents acteurs. Le second facteur est l’appât du gain. Le profit peut être économiquement vertueux quand la recherche du profit se traduit par l’amélioration des processus de production et une meilleure efficience dans la production des richesses économiques. Par contre, la recherche du profit conduit également les acteurs à vouloir modifier les règles du jeu pour accroître leur part du profit global. Au lieu de contribuer à accroître la richesse économique globale, la poursuite effrénée du profit ne tend plus à générer des richesses économiques supplémentaires, mais à capter une part croissante des richesses produites. C’est ce qui s’est passé avec la bulle immobilière américaine. Chaque acteur s’est focalisé sur le profit à court terme qu’il pouvait obtenir en ignorant les conséquences de ses actions sur les autres acteurs. Le système de prix, qui habituellement joue le rôle de régulateur, n’a rempli ses fonctions qu’avec beaucoup de retard, car : d’une part, la banque centrale américaine continuait àsoutenir l’économie américaine ; et d’autre part, les nouveaux instruments financiers ont introduit une grande opacité sur le système de formation des prix9. L’évaluation analytique, individuelle, des risques ne permet pas de se rendre compte de l’ampleur des risques globaux liés à l’activité ou à la réalisation de processus complexes. C’est pourquoi, il est nécessaire d’adopter une approche par les processus,

approche qui, pour l‘audit des états financiers, se traduit généralement par une approche par cycles.

3.1. L’analyse par processus Si l’approche analytique, qui consiste à disséquer les composants du produit ou du service, ne permet pas d’appréhender les interactions entre les différents composants, l’analyse par processus permet de poursuivre ces deux objectifs simultanément.

3.1.1. Le produit, aboutissement d’un cycle de production La principale étape va consister à identifier non pas ce qui compose le produit ou le service, mais ce qui en est attendu. Le processus va donc être défini à partir de son point d’arrivée. C’est ensuite, en remontant les différentes étapes nécessaires à l’obtention du résultat souhaité, que l’on va pouvoir définir le processus et les composants qui y contribuent. Par exemple, si l’on souhaite auditer une voiture (faire un contrôle technique) : dans la démarche purement analytique, on se focalisera sur la conformité des composants à contrôler ; dans la démarche par processus, on s’intéressera aux différentes fonctions attendues du véhicule : le moteur, le freinage la direction, la tenue de route, etc. Pour chaque processus, on auditera alors la conformité de la fonction (par exemple la capacité de freinage du véhicule) et la conformité des composants (l’usure des pneus, l’état des conduits pour le liquide de frein ou l’état du câble de frein à main, etc.). L’intérêt d’une analyse par les processus est qu’elle focalise directement l’attention de l’auditeur sur le résultat souhaité par les utilisateurs. La principale difficulté de mise en œuvre réside dans l’exhaustivité de l’audit et dans la possibilité d’augmentation des coûts due au chevauchement éventuel des contrôles. La recherche de l’exhaustivité implique que l’analyse des processus soit faite en couvrant la totalité des fonctions de l’objet ou du service audité. Elle est fondamentale, car c’est souvent à ce niveau que se situent les défaillances de l’audit (tout semble avoir été audité alors qu’en réalité une fonction ou un composant du produit ou du service a été ignoré ou négligé). La question de la moindre efficience du processus d’audit (avec les risques de réalisation de travaux qui se recoupent ou se répètent) doit être résolue par une attention plus grande accordée à la planification de l‘audit. Cette dernière doit permettre d’identifier les composants qui interviennent dans plusieurs processus et de prévoir en conséquence des travaux de contrôle uniques valables pour la totalité des processus impliqués par le composant.

3.1.2. Les vices cachés La norme permet de mesurer ce qui est perceptible à un instant T. La difficulté de

l’audit est qu’il vise non seulement à s’assurer de la conformité à cet instant T, mais aussi à garantir la pérennité de cette conformité. L’audit d’un produit ou d’un service doit garantir que le produit ou le service est conforme à l’instant présent, mais qu’il le sera également dans un temps futur et qu’il ne va pas brutalement se décomposer. La dimension de la durée, de l’inscription dans le temps est donc essentielle. Cela apparaît particulièrement dans l’audit des états financiers où ce qui intéresse les créanciers n’est pas la solvabilité de l’entreprise dans le passé, mais sa capacité à payer ses dettes dans les périodes à venir. C’est ce qui explique le décalage (l’expectation gap dont nous avons parlé précédemment) entre les attentes des utilisateurs des états financiers (qui souhaiteraient que la certification apportée par l’audit porte sur le futur) et les auditeurs (qui se limitent aux faits passés et appréhendables). Dans de nombreuses faillites d’entreprises, les cessations de paiement sont intervenues dans l’année suivant une certification sans réserve des comptes. Pour les auditeurs, les états financiers exprimaient tout ce que l’on pouvait dire de la situation comptable et financière de l’entreprise à la date d’arrêté des comptes ; pour les utilisateurs, l’audit n’a pas permis de mettre en évidence les dérives qui allaient éclater au grand jour quelques mois plus tard. En effet, derrière la durée, se cache l’identification de ce qui n’est pas visible à un instant T, mais qui se manifeste ultérieurement. La question posée à l’audit est donc : l’audit est-il capable d’identifier les vices cachés, les dérives invisibles ou peu visibles qui, si elles n’affectent pas la conformité à l’instant T, la rendront impossible quelque temps plus tard. Par exemple, quand l’entreprise pétrolière BP décide de réduire ses coûts de maintenance et de contrôle, et d’externaliser un grand nombre de ses tâches, elle prend du même coup le risque de laisser des dérives sécuritaires apparaître liées à une détérioration des procédures et de la qualité des processus. Quand, quelques années plus tard, un forage en pleine mer se transforme en catastrophe écologique, on peut incriminer la conjonction de facteurs multiples, la malchance, ou on peut, à l’inverse, s’interroger sur le faisceau de malfaçons non identifiées et non contrôlées qui ont rendu possible un tel drame. La logique des événements extrêmes est que leur probabilité d’occurrence est très faible et donc qu’il est possible de vivre sans catastrophe pendant une longue période, alors même que les procédures de contrôle ont progressivement été dévoyées et que l’audit ne s’attache plus qu’à valider la conformité des phénomènes apparents et non la réalité des processus sous-jacents qui sont à l’œuvre.

3.1.3. La place inégale des parties prenantes L’audit par les processus part des finalités attendues pour le produit ou le service rendu. Implicitement, il existe une valorisation des attentes des utilisateurs finaux. Cette

attente implicite est souvent passée sous silence avec les risques que cela engendre sur la pertinence de l’audit. Dans le cas de l’audit des états financiers, la considération quasi exclusive accordée aux investisseurs financiers conduit à analyser les processus en fonction de leur contribution à la création de valeur. Si, à l’inverse, on s’attachait davantage aux attentes des employés actifs, des employés retraités, des fournisseurs, des clients, ou même des collectivités territoriales, l’objectif de création de valeur financière serait moins dominant et laisserait davantage de place à l’objectif de continuité de l’exploitation. En matière de processus, la prise en compte des utilisateurs du produit ou du service modifie le mode de réalisation de l’audit. Quand une entreprise réduit son capital (soit en valeur absolue, soit en valeur relative par rapport à son total de bilan) par une distribution exceptionnelle de dividendes, par le rachat de ses actions, par l’acquisition d’un concurrent… elle augmente ses risques de la même manière que si elle se mettait à vendre à des clients peu solvables ou à payer d’avance ses fournisseurs. Dans les deux derniers cas, les auditeurs pourraient considérer que l’entreprise doit passer des provisions pour créances douteuses ou des provisions pour risques. En effet, vendre des produits sans certitude d’être payée ou d’être livrée est une mise en cause du processus de création de valeur financière. Par contre, réduire sa capacité à surmonter des événements externes (des variations de taux de change, un accroissement de la concurrence, une baisse de la croissance économique, etc.) n’est généralement pas appréhendé en audit comme un risque similaire, car les parties prenantes impactées par cette décision ne sont pas considérées comme étant des utilisateurs majeurs des états financiers. Par voie de conséquence, les processus qui permettent d’assurer la satisfaction de leurs attentes sont en grande partie ignorés ou sous-évalués. On aboutit ainsi à ce paradoxe que l’audit va se focaliser sur les risques mineurs pour la globalité des parties prenantes, mais majeurs pour les investisseurs financiers et, inversement, ignorer des risques majeurs pour la globalité des parties prenantes, mais considérés comme étant mineurs (peu probables, aisément diversifiables financièrement ou sans conséquences financières mesurables) par les investisseurs financiers10.

3.2. L’identification des risques Une première méthode de contrôle d’un processus consiste à le répéter à l’identique en présence du contrôleur. Cette méthode est utilisée pour identifier les faiblesses du contrôle interne, mais elle ne peut servir à identifier les défaillances réelles qui ont déjà eu lieu. En effet, la compréhension du processus, son observation et son test permettent de recenser les possibilités de défaillance, mais non les défaillances ellesmêmes. Un processus peut présenter de nombreuses faiblesses qui, pour des raisons diverses, ne se matérialisent pas en non-conformité du produit ou du service rendu. Par

exemple, un processus peut permettre de nombreuses défaillances humaines, mais la qualité des employés ou des intervenants fait que les défaillances n’ont pas lieu ou qu’elles sont immédiatement identifiées et corrigées. L’analyse par processus ne vise donc pas à valider la conformité de chaque produit ou service, mais à mettre en évidence les zones de risque où il existe une probabilité significative que le résultat du processus ne soit pas conforme aux attentes. Ces zones de risque résultent de facteurs liés à l’organisation interne du processus et des ressources mises en œuvre, et de facteurs externes liés à l’environnement de l’entreprise.

3.2.1. Les risques liés à l’organisation interne Certaines façons de faire génèrent des risques de non-conformité plus importants que d’autres. Chaque artisan sait bien que, si chacun a sa manière de travailler, il existe des gestes plus ou moins dangereux ou plus moins aptes à produire le résultat escompté. La différence entre l’approche d’audit et une démarche interne de processus qualité, c’est que la seconde va agir directement sur les comportements ou les procédures pour les modifier et les faire évoluer dans un sens supposé moins risqué et plus efficient, alors que la première va se limiter à identifier le risque lié aux comportements ou aux procédures. La démarche d’audit peut déboucher ultérieurement sur une modification des processus, mais ce n’est pas son objectif premier. La confusion entre les deux rend plus complexe la réalisation de l’audit, car elle modifie le comportement des acteurs. Si ceux-ci savent que la conséquence de l’audit risque d’être une modification imposée de leur environnement de travail, il est possible qu’ils modifient ponctuellement leur comportement ou les procédures appliquées et que, ce faisant, ils rendent imperceptibles les risques sous-jacents. L’audit, en s’attachant à l’identification des risques, ne vise donc pas prioritairement à l’efficience du processus de production, mais à recenser les zones de risques, c’est-àdire la possibilité que des non-conformités se soient produites (dans le passé) ou se produisent (à l’avenir). Les risques internes peuvent être liés à des comportements humains, mais ils peuvent aussi découler de réactions physiques ou chimiques liées au processus. Par exemple, un processus qui fait appel, à différentes étapes de sa réalisation, à des matières individuellement inoffensives, mais potentiellement explosives ou inflammables dès qu’elles sont mélangées doit prévoir des procédures permettant d’éviter la confusion des produits ou leur rapprochement physique11. Les risques internes peuvent également découler de la stratégie de l’entreprise qui décide de se rendre plus vulnérable pour accroître la satisfaction de l’une de ses parties prenantes. C’est le cas de l’entreprise qui décide de redistribuer une partie de ses

capitaux propres à ses actionnaires pour améliorer la rentabilité du capital investi. Ce peut être aussi le cas d’une entreprise qui réduit ses frais de maintenance en licenciant ses employés spécialisés et en sous-traitant les opérations à une entreprise externe qui n’est plus soumise aux mêmes exigences de conformité et de sécurité. Des opérations qui étaient auparavant suivies de près sont supposées être désormais dépourvues de risque parce qu’elles ont été déléguées à un prestataire de service. Comme l’ont démontré de nombreuses catastrophes, dont celle de BP dans le golfe du Mexique, de telles pratiques accroissent les risques sans les rendre visibles ni en interne ni à l’extérieur de l’entreprise.

3.2.2. Les risques liés à l’environnement La réalisation d’un risque majeur peut être due à un facteur externe qui fait office de détonateur. L’exemple emblématique est celui de la centrale nucléaire de Fukushima au Japon. Si un séisme entraînant un raz de marée ne s’était pas produit, l’accident nucléaire n’aurait pas eu lieu. Il est donc tentant de considérer que les risques sont liés à des impondérables. L’examen de la catastrophe nucléaire de Fukushima a néanmoins mis en évidence une série de dysfonctionnements internes à la centrale nucléaire. Si ces dysfonctionnements avaient été identifiés au préalable, il est vraisemblable que la catastrophe aurait été moindre. L’identification des risques externes à l’organisation ne doit donc pas viser à recenser la totalité des risques possibles ainsi que leurs conséquences sur l’organisation, mais plutôt à identifier les zones d’où des risques majeurs pourraient provenir et à les mettre en relation avec les procédures internes de l’entreprise. C’est d’ailleurs ainsi que procède la quasi-totalité des grandes entreprises confrontées à des risques naturels (ou parfois criminels). C’est donc l’interaction entre l’environnement et l’entreprise qui doit faire l’objet d’une analyse approfondie des risques. Une scierie est plus sensible à un risque d’incendie qu’une cimenterie, alors même que le processus de production du ciment exige une production importante de chaleur. Cette interaction peut également être appréhendée via son impact sur les diverses parties prenantes. En effet, le risque d’explosion d’une usine peut être chiffré à travers ses conséquences financières, mais il peut également être évalué à travers son impact social et environnemental. Dans certains cas, les impacts financiers, sociaux et environnementaux convergent en raison du poids de certains acteurs ou régulateurs qui imposent les compensations financières (ce fut le cas pour l’indemnisation des diverses parties prenantes à la suite de la catastrophe de BP dans le golfe du Mexique, grâce à l’intervention du gouvernement américain). Dans d’autres cas, les conséquences sociales et environnementales sont laissées à la charge des parties prenantes peu ou pas représentées au sein des

entreprises impliquées ou des organismes de régulation (c’est en partie le cas des populations riveraines des zones d’exploitation pétrolière en Afrique).

3.3. La mesure du risque Dans la mesure où l’approche par les risques ne prétend pas reproduire à l’identique les processus passés, ou identifier individuellement tous les risques à venir, il est nécessaire de disposer d’une approche permettant d’évaluer les conséquences possibles soit des risques passés soit des risques futurs.

3.3.1. Les approches statistiques Les méthodes statistiques d’échantillonnage et d’inférence des résultats obtenus à une population plus large constituent la base des méthodes d’évaluation des risques. En testant de façon approfondie la conformité d’un nombre restreint de produits, il est possible, sous réserve de respecter les méthodes d’échantillonnage (notamment la sélection aléatoire), d’en déduire la probabilité de non-conformité pour la totalité de la population. De même, en testant certaines caractéristiques d’un produit ou d’un service pour un nombre limité de produits ou de services, il est possible d’en déduire la distribution possible des écarts à la norme pour la caractéristique étudiée. Les statistiques permettent donc de répondre à deux questions essentielles : quelle est la conséquence des non-conformités observées pour un nombre réduit de produits, et quelle est la proportion estimée de non-conformité pour la population totale. Dans les deux cas, la réponse n’est pas une constatation, mais une inférence. En se fixant un seuil de probabilité (par exemple, en considérant qu’une erreur d’estimation de 1 % serait acceptable), on peut en déduire une mesure du risque. Ces méthodes sont particulièrement appréciées quand l’organisation peut supporter un certain niveau de risque (par exemple une défaillance de ses clients qui représente moins de 0,1 % de son chiffre d’affaires). Dans ce cas, l’approche statistique permet de disposer d’une mesure indiquant si l’on est au-dessus ou au-dessous du risque acceptable. L’approche statistique permet de disposer d’une mesure conjointe de la fréquence d’un risque et de son coût. Dans le cas de la défaillance des clients, le risque peut être lié à une multitude d’incidents de paiement (chèques sans provision, faux billets, etc.) ou à un nombre réduit de défaillances de clients. La mesure chiffrée de ces défaillances permet de faire ressortir le risque pour la continuité d’exploitation de l’entreprise et pour sa rentabilité.

3.3.2. Les risques anormaux et imprévus Les méthodes statistiques présentent deux limites essentielles. La première tient à la

nature de la distribution du risque. Celui-ci est souvent présumé également réparti avec une concentration des mesures autour de la moyenne et une dispersion qui va en se raréfiant au fur et à mesure qu’on s’en éloigne, ce qui autorise l’utilisation de la loi normale. Or, il arrive fréquemment que les risques soient distribués d’une autre façon. Par exemple, les mesures peuvent faire ressortir deux pics de risque ou les risques extrêmes peuvent être plus fréquents que ce qu’une loi normale laisserait prévoir. Ces phénomènes sont expliqués avec de nombreux exemples par Nicolas Taleb dans son ouvrage sur l’occurrence d’événements rares et imprévus12. De surcroît, certains risques qui, considérés individuellement, sont rares peuvent se révéler fréquents en conjonction de certains phénomènes. Il existe donc des phénomènes de corrélation qui modifient la fréquence des risques. L’approche statistique doit intégrer systématiquement l’impact des interactions possibles entre les différents facteurs de risque. La seconde limite tient au phénomène d’observation. Les statistiques ne rendent compte que de ce qui a été observé et mesuré. Si un échantillon ne contient aucune mesure possible d’un risque, la représentation du risque n’en tiendra pas davantage compte. Or, certains risques, soit parce qu’ils sont rares, soit parce qu’ils n’ont pas été appréhendés en tant que risques, ne sont pas représentés dans l’échantillon étudié. Il est donc possible que des risques apparaissent sans qu’ils aient été identifiés au préalable. Par exemple, si l’on veut appréhender le risque d’incendie et que l’on procède à des échantillonnages de végétation, on ne peut pas ignorer les facteurs extérieurs qui vont conditionner le risque. Si les mesures ont lieu au cours d’un printemps extrêmement pluvieux, il est difficile d’en déduire une mesure du risque qui s’étendrait à toutes les périodes de l’année. On risque ainsi d’ignorer des risques pourtant réels. Enfin, certains risques sont ignorés parce que ceux qui subissent les conséquences des risques ne sont pas perçus comme étant des parties prenantes, des acteurs auxquels l’entreprise devrait rendre compte. La pollution des eaux a, pendant longtemps, été un facteur sous-évalué, voire ignoré, car les conséquences de cette pollution n’étaient pas appréhendées. Ce fut le cas en Bretagne, particulièrement avec les élevages intensifs, cela l’est encore en Afrique avec la pollution des eaux superficielles et la pollution, qui en découle, des nappes phréatiques dans les grandes villes. Ces phénomènes sont peu appréhendés, car ceux qui en ont les moyens procèdent à des forages profonds pour accéder aux nappes non polluées, et ceux qui souffrent de la pollution de l’eau souffrent généralement d’un grand nombre d’autres facteurs (notamment l’accès à un revenu quotidien minimum) qu’ils identifient comme étant des causes immédiates prioritaires. 1. Pour approfondir cette question, se référer à : Pigé B. (sous la direction de) (2011), Qualité de l’audit, DeBoeck. 2. En 2003-2004, le groupe italien Parmalat, un géant de l’agroalimentaire, a été obligé de révéler un trou de près de 4

milliards d’euros camouflé par un compte fictif dans un paradis fiscal. Les auditeurs s’étaient contentés de justificatifs supposés externes pour valider l’existence de ce compte. 3. Savall H. et Zardet V. (2005), Tétranormalisation, défis et dynamique, Economica. 4. Il est assez fréquent d’observer un consensus entre diverses parties prenantes pour ne pas aborder les sujets qui fâchent en présence d’observateurs externes. Ainsi, le dirigeant d’une organisation peut avoir commis des actes répréhensibles mais les membres du conseil d’administration peuvent d’un commun accord choisir de passer ces actes sous silence, soit pour conserver leur place, soit parce qu’ils disposent alors d’un moyen de pression sur le dirigeant pour obtenir des avantages personnels, faire avancer les projets qui leur tiennent à cœur, ou tout simplement limiter les possibilités d’enracinement du dirigeant. Dans ces divers cas, soit l’auditeur n’est pas au courant, soit il peut préférer ne pas être officiellement au courant, ce qui renvoie à la question de l’éthique. 5 En termes de coût de mise en place et de fonctionnement : pour que le contrôle interne soit conçu et qu’il fonctionne, il faut prévoir des employés et des moyens matériels. En termes de souplesse et d’adaptabilité de l’organisation, un contrôle interne très formalisé restreint les possibilités d’adaptation des individus. 6. Pour réduire ce risque, le législateur français a prévu l’instauration d’un mandat de six ans. Cette législation protège l’auditeur, sauf à proximité de la date de renouvellement puisque, le marché de l’audit étant moins ouvert que dans une économie avec un renouvellement annuel, la perte d’un mandat de six ans est ressentie beaucoup plus douloureusement. 7. À partir de Schrödinger E. (1951), Science et humanisme, Seuil 1992. 8. Pigé B. (2011), « Qualité de l’audit et IFRS, les enjeux du jugement dans un processus technique », in Pigé B., Qualité de l’audit, De Boeck, p. 175-192. Miledi A. et Pigé B. (2011), « Le jugement de l’auditeur en tant que processus d’apprentissage », in Pigé B., Qualité de l’audit, De Boeck, p. 193-200. 9. Il est vraisemblable que, sur ces deux grands phénomènes, nous soyons toujours dans la même logique d’inflation monétaire (une création monétaire sans réelle limite) et d’opacité financière (avec le développement de marchés financiers parallèles très opaques et le recours aux paradis fiscaux, qui non seulement permettent de minimiser la charge fiscale mais également contribuent à rendre difficile la traçabilité des transactions économiques). 10. Power M. (2009), « The risk management of nothing », Accounting Organizations and Society, p. 849-855. 11. Cf. l’explosion de l’usine AZF à Toulouse en 2001. 12. Taleb N.N. (2008), Le cygne noir – La puissance de l’imprévisible, Les Belles Lettres, 496 p..

Chapitre 3. La normalisation de l’audit comptable et financier Historiquement, l’audit comptable et financier est la conséquence d’une délégation de service. Un propriétaire confie à un intendant le soin de gérer et de mettre en valeur sa propriété. À intervalle régulier (ou irrégulier), il vient lui demander des comptes, lui demander de rendre compte de sa gestion. Pour ce faire, il procède à un audit : il inspecte sa propriété, s’enquiert des récoltes obtenues, des aménagements effectués, etc. À la fin du XIXe siècle et au début du XXe, l’essor des entreprises cotées et la multiplication des scandales financiers ont rendu nécessaire la mise en place de procédures de contrôle et d’audit. Parce qu’il existait désormais une séparation entre les propriétaires et les dirigeants1, il était nécessaire de revoir le système de gouvernance des entreprises et, en particulier, de formaliser les processus de reddition des comptes. La globalisation et le développement des marchés financiers ont considérablement modifié cet état de fait. L’information comptable et financière n’est plus désormais destinée prioritairement à rendre compte des actions mises en œuvre et des décisions prises, mais plutôt à valoriser les conséquences de ces actions et décisions. Parce qu’il existe une croyance en l’universalité de la représentation financière des phénomènes économiques, l’audit est devenu l’outil qui permet de fiabiliser cette représentation financière, ce reporting financier. De ce fait, bien qu’il ait gardé certaines caractéristiques d’une relation contractuelle (nomination et rémunération de l’auditeur par l’entreprise contrôlée), il ressort désormais principalement d’une fonction semipublique. La certification des comptes n’est plus destinée à porter un regard distant sur le compte rendu de l’action du dirigeant, mais à certifier la conformité des informations financières produites et communiquées. Cette conformité de l’information reste marquée par son origine et par les relations de pouvoir qui structurent le monde économique. En effet, historiquement l’information comptable et financière était confidentielle, réservée au propriétaire pour suivre ses mouvements de trésorerie et ses diverses transactions. La séparation des fonctions de propriété et de direction et l’appel public à l’épargne ont entraîné la nécessité d’une publicité de l’information comptable et financière pour pouvoir valoriser les entreprises cotées et évaluer l’action des dirigeants. Parallèlement, le rôle central des marchés financiers dans le développement économique des pays a conduit à privilégier

l’information comptable et financière à destination des investisseurs. La normalisation publique de l’audit s’est donc appuyée sur les attentes des investisseurs financiers et des régulateurs boursiers. Ce faisant, les attentes spécifiques des autres parties prenantes de l‘entreprise ont en grande partie été oubliées. Les états comptables et financiers sont certifiés, mais cette certification n’a qu’un intérêt limité pour les employés, les fournisseurs, les clients ou les collectivités territoriales. Une entreprise peut avoir des comptes certifiés et déposer son bilan quelques mois plus tard. Elle peut également mettre en œuvre un plan de licenciement, recourir à de l’externalisation, ou délocaliser ses activités de production sans que ces diverses actions ne remettent en cause la certification de son bilan ou de son compte de résultat. Derrière une normalisation sans cesse plus poussée du processus d’audit apparaissent donc de nombreuses questions liées à l’objet de la certification : l’information comptable et financière, mais aussi au mode de réalisation de l’audit.

1. La normalisation de l’information comptable et financière L’audit offre une assurance sur la conformité d’un produit, d’un processus ou d’une organisation à un ensemble de normes. Selon la nature de l’objet audité et les utilisateurs de l’audit, les normes sont définies par l’organisation (en interne), par des tiers parties prenantes (des clients, des fournisseurs, des créanciers, des actionnaires, etc.), ou par des tiers indépendants ayant reçu une mission publique de normalisation (les organismes nationaux ou internationaux de normalisation). Dans le cas de l’information comptable et financière, les questions normatives ont pris une importance grandissante au cours des décennies avec le transfert progressif du niveau national vers le niveau international (les IAS/IFRS2). Si l’objet de l’audit est la conformité, il apparaît évident que le corpus normatif qui va lui permettre de tester la conformité va également avoir une incidence sur le déroulement du processus d’audit. Le mode de réalisation de l’audit est dépendant du référentiel normatif qu’il contrôle. Mais cette dépendance est également source d’interactions. Parce que l’audit comptable et financier va dépendre de la normalisation comptable internationale, les auditeurs vont également influencer le processus de normalisation pour faciliter leur travail et réduire les risques supportés. Or, le risque principal supporté par les auditeurs est la mise en cause de leur responsabilité. Si, en France, cette mise en cause demeure assez rare et n’entraîne qu’exceptionnellement des dédommagements financiers, il n’en est pas de même dans d’autres pays, notamment aux États-Unis. Les investisseurs, victimes d’une mauvaise information comptable et d’une faillite de leur société, peuvent difficilement se

retourner contre les dirigeants ou les administrateurs (généralement non solvables), mais ils peuvent chercher à obtenir compensation auprès des autres acteurs de la qualité de l’information comptable et financière, et en premier lieu auprès des auditeurs. Pour réduire ce risque de mise en cause, mais aussi pour faciliter les travaux d’audit, les auditeurs se sont toujours impliqués dans les organismes nationaux et internationaux de normalisation. L’objectif poursuivi est complexe. En effet, l’information comptable et financière doit pouvoir rendre compte des spécificités des différents secteurs d’activité et de la diversité des processus d’exploitation et de financement mis en œuvre, ce qui suppose, soit le recours accru au jugement de l’auditeur, soit une normalisation toujours plus précise des modes d’enregistrement comptable. En France, jusqu’au milieu des années 1980, les approches artisanales du processus d’audit faisaient la part belle au jugement de l’auditeur. L’associé signataire de la certification des comptes s’appuyait non seulement sur les travaux d’audit réalisés, mais également sur sa connaissance de l’entreprise et de ses dirigeants. La conséquence en était une qualité très inégale de la certification de comptes. Certains associés pouvaient se montrer très complaisants alors que d’autres cherchaient au contraire à identifier les failles ou les fraudes éventuelles. L’industrialisation du processus d’audit, née aux États-Unis pour satisfaire les besoins des marchés financiers et des multinationales, s’est progressivement étendue à tous les pays. Elle consiste à normaliser et à formaliser les processus d’audit pour en rendre l’exécution indépendante du niveau d’expérience des auditeurs. La structure hiérarchique des cabinets d’audit permet de concentrer l’expérience professionnelle au sommet de la pyramide en confiant les travaux d’exécution à des auditeurs plus novices. La contrepartie de cette industrialisation est la disparition du jugement professionnel dans l’exécution des tâches d’audit. L’auditeur junior doit exécuter les tâches qui lui sont demandées sans nécessairement s’interroger sur leur adéquation aux risques de l’entreprise auditée. L’approche par les risques a fait l’objet d’une étude préliminaire par l’associé et le chef de mission. Le déroulement du processus d’audit consiste ensuite à réaliser les travaux planifiés ex ante. Ce basculement d’un audit fondé sur l’expérience professionnelle de l’auditeur et sur son jugement vers un processus industrialisé, a pour effet de rendre plus difficile l’adaptation de l’audit aux spécificités de l’entreprise auditée. La conséquence naturelle de l’industrialisation du processus d’audit est l’accroissement de la normalisation du produit audité. Pour pouvoir justifier de la pertinence d’un processus d’audit industrialisé, il est nécessaire à la fois que le processus d’audit soit standardisé et que l’objet d’étude (les états comptables et financiers) soit lui-même standardisé3. À cette évolution vers davantage de normalisation des états comptables et financiers

et davantage de normalisation du processus d’audit, s’est ajoutée une troisième évolution, celle vers davantage de normalisation du processus de contrôle interne. Cette dernière évolution plus surprenante, car par nature le contrôle interne est spécifique à l’entreprise à laquelle il s’applique, s’explique par les conséquences multiples des processus d’industrialisation. En effet, l’industrialisation a pour effet de produire des séries de produits (biens ou services) similaires. Il devient alors plus efficace de contrôler les processus de production plutôt que les produits eux-mêmes. Or, c’est l’objet du système de contrôle interne, de contrôler les processus. Dès lors, l’audit va se focaliser sur les systèmes de contrôle interne pour s’assurer qu’ils remplissent correctement leur rôle et que la qualité du processus garantit la qualité du produit délivré. Cette focalisation sur le contrôle interne se traduit par l’approche par les risques. L’étape préliminaire à toute mission d’audit consiste à identifier les risques de l’entreprise auditée pour déterminer les contrôles et les tests à réaliser en priorité. Cette focalisation sur le contrôle interne supposerait une grande souplesse de la part de l’audit pour pouvoir s’adapter à des systèmes qui, par nature, sont spécifiques, puisque conçus pour répondre aux besoins d’une entreprise donnée exerçant dans un secteur d’activité particulier et dans un environnement local précis. Or, une telle adaptation est difficilement compatible avec l’industrialisation du processus d’audit. Dès lors, la conséquence logique est la normalisation du processus de contrôle interne. Pour pouvoir répondre à leur besoin de disposer d’un système de contrôle interne qui soit auditable avec un minimum d’adaptation, les auditeurs ont fortement pesé sur la mise en œuvre d’une normalisation internationale du contrôle interne. Celle-ci a pris la forme du COSO4. Cette évolution a été facilitée par le poids des grands réseaux d’audit dans les diverses fonctions liées à la production et au contrôle de l’information comptable et financière5.

1.1. Les états financiers Selon IAS1 §7 : Les états financiers à usage général (appelés « états financiers ») sont les états destinés à répondre aux besoins des utilisateurs qui ne sont pas en mesure d’exiger que l’entité prépare des rapports financiers adaptés à leurs besoins particuliers d’informations. Cette définition des états financiers met clairement en évidence l’existence de deux types d’états financiers : ceux qui répondent spécifiquement aux besoins de certains utilisateurs et qui, de ce fait, ne sont pas soumis à des exigences de normalisation ; et ceux qui sont supposés pouvoir satisfaire les besoins généraux d’information des autres utilisateurs. La normalisation comptable entérine l’existence d’une diversité des informations possibles. Son objet est donc de fournir une exigence minimale de qualité

à l’information comptable et financière diffusée à la totalité des utilisateurs. Les états financiers sont une représentation structurée de la situation financière et de la performance financière de l’entité. L’objectif des états financiers est de fournir des informations sur la situation financière, la performance financière et les flux de trésorerie de l’entité qui soient utiles à un large éventail d’utilisateurs pour la prise de décisions économiques (IAS1 §9). Cette vision large des utilisateurs des états financiers tend à se restreindre puisque le cadre conceptuel des IFRS publié en 2010 ne retient que les investisseurs (actuels et potentiels), les institutions financières et les créanciers. De surcroît, les apporteurs de ressources ne sont appréhendés qu’à travers la valorisation financière de ces ressources. Si, apparemment, les états financiers présentent une grande complexité, leur objet est en réalité très limité puisqu’ils s’attachent : • à identifier les éléments du patrimoine (actif et passif) ; • et à les valoriser. Dans cette approche patrimoniale de l’entreprise, le bilan a un rôle essentiel. Dans la logique de la référence absolue aux prix du marché, il serait nécessaire de valoriser tous les éléments d’actif et de passif aux prix du marché. Pour des raisons complexes qui révèlent une certaine incohérence de fond, le basculement vers les prix du marché n’est que partiel et dépend de la nature des actifs et des passifs concernés ainsi que des droits qui y sont attachés. C’est d’ailleurs ce qui rend la comptabilité si difficile à appréhender, car elle est un mélange de prix historiques et de prix du marché. Pour les auditeurs, cette subtile distinction entre les éléments relevant d’un enregistrement en coût historique et ceux relevant des prix du marché permet de justifier des travaux parfois un peu ésotériques puisqu’incompréhensibles pour l’utilisateur lambda (celui, justement, qui ne dispose pas de l’accès à une information spécifique et privilégiée). Le second élément central des états financiers est désormais le tableau des flux de financement, car c’est celui qui permet aux créanciers de disposer d’une information sur l’évolution des modes de financement de l’entreprise au cours de l’exercice écoulé. Pour les auditeurs, ce tableau de financement est relativement aisé à contrôler puisqu’il s’appuie sur les entrées et sorties de trésorerie. Le principal risque d’audit provient des mouvements de trésorerie réalisés avec des entités supposées externes à l’entreprise auditée. C’est en effet ainsi que de nombreuses fraudes comptables ont eu lieu, en externalisant certaines opérations avec des entités tierces qui, en réalité, dépendaient économiquement de l’entreprise auditée. Le compte de résultat, qui, il y a quelques décennies, occupait une place centrale dans les états financiers, se trouve désormais ravalé au rang d’élément de calcul. Par exemple, l’EBITDA (Earnings before Interest, Taxes, Depreciation, and

Amortization, ce qui donne en français : revenus avant intérêts, impôts, dotations aux amortissements et provisions sur immobilisations) est calculé grâce au compte de résultat et il est un indicateur très utilisé pour mesurer la profitabilité d’une entreprise (dont dépend notamment sa capacité à rembourser ses dettes). L’annexe qui constitua le fer de lance de la normalisation française par ses exigences d’informations complémentaires et explicatives se trouve désormais ravalée au rang de notes sur les états financiers. Son objet est d’expliquer ou de justifier certains comptes du bilan, du tableau de financement ou du compte de résultat, ainsi que certains choix comptables quand les normes en laissent la possibilité. Le passage aux IAS/IFRS n’a pas diminué son volume, car l’annexe sert désormais aux dirigeants et aux auditeurs pour se couvrir contre le risque de mise en cause de leur responsabilité. En effet, les notes aux états financiers fournissent généralement une information très riche, mais difficile à décrypter. Dans le cas d’Enron, une grande partie de l’information sur les transactions avec des entités ad hoc figurait dans ces notes. Par contre, pour pouvoir comprendre pleinement leur signification, il était nécessaire d’être par ailleurs au courant des montages comptables mis en place par Enron. En conséquence, l’information est donnée, mais elle demeure peu compréhensible pour les non-initiés.

1.1.1. Un inventaire Les états financiers sont un inventaire synthétique des avoirs (les actifs) et des dettes (les passifs) de l’entreprise. L’auditeur doit s’assurer de la réalité et de l’exhaustivité de cet inventaire. Ce contrôle prend des formes variées, depuis l’inventaire physique pour les stocks et les immobilisations corporelles jusqu’à la circularisation, la confirmation externe ou l’étude des contrats pour les créances, les brevets, les immobilisations incorporelles et financières, etc. L’utilisateur des états financiers n’a pas accès à cet inventaire ni même aux écarts observés sur cet inventaire. Il lui est difficile de savoir si les actifs sont réellement entretenus, s’ils font l’objet d’un suivi régulier ou s’ils sont laissés à l’abandon. Tout ce qu’il peut connaître, c’est une valeur brute (avant amortissements et provisions) et une valeur nette par grandes catégories d’actifs. De plus, s’il n’a pas accès aux quantités, l’utilisateur a aussi une vision biaisée par le cumul des différentes valorisations. Un actif immobilisé essentiel pour une entreprise, mais dont l’acquisition est ancienne et qui est comptablement entièrement amorti, pourra ainsi être valorisé à 0 en valeur nette alors qu’une immobilisation non stratégique, mais acquise récemment, aura une valeur nette élevée. Pour l’auditeur, le risque de réalité est souvent bien appréhendé, car c’est le plus aisé à contrôler. En effet, l’auditeur doit s’assurer de l’existence d’un actif dont les caractéristiques lui sont indiquées par l’entreprise cliente. Il existe néanmoins des

scandales majeurs ayant pour origine des actifs fictifs que les auditeurs n’ont pas identifiés comme étant fictifs6. Dans ce cas, la faute de l’auditeur est difficilement excusable. Le risque d’exhaustivité est beaucoup plus difficile à cerner, car la non-exhaustivité signifie que certains actifs ou passifs qui devraient figurer dans les comptes de l’entreprise n’y sont pas. Cela signifie que l’auditeur peut plus difficilement s’appuyer sur les comptes de l’entreprise pour mettre en évidence ces actifs ou passifs manquants. La démarche d’audit, qui permet de réduire ce risque de non-exhaustivité, consiste à étudier les transactions pour s’assurer qu’elles ne font pas référence à des éléments de l’actif ou du passif qui devraient figurer dans les comptes, à circulariser les tiers avec lesquels l’entreprise est en relation d’affaires pour avoir connaissance ou confirmation des actifs et des passifs en cours, et à observer les processus de l’entreprise pour déceler des actifs ou des passifs qui auraient pu être omis (par exemple, des machines sorties de l’inventaire, car entièrement amorties et pourtant encore utilisées en production). Il est malheureusement fréquent que les auditeurs limitent leurs contrôles aux normes d’audit expressément requises sans chercher à identifier la possibilité d’actifs ou de passifs frauduleusement omis des états comptables de l’entreprise. En effet, la fraude peut provenir de l’existence d’actifs fictifs, mais cette pratique s’explique généralement par une situation de liquidité tendue et par des risques de cessation de paiement que les dirigeants s’efforcent de camoufler. Les auditeurs peuvent donc évaluer le risque d’existence d’actifs fictifs (des passifs fictifs sont plus rares7) en étudiant la situation de trésorerie de l’entreprise, l’évolution de ses délais de règlement client et fournisseur ou la variation de ses stocks. La fraude provient plus facilement d’actifs ou de passifs omis afin : soit d’améliorer les ratios d’équilibre financier de l’entreprise (technique utilisée par Enron, Vivendi, etc.) ; soit de détourner une partie des actifs de l’entreprise (qu’il s’agisse de biens matériels, immatériels, ou de trésorerie) au bénéfice de quelques employés ou de certaines parties prenantes (actionnaires, clients, fournisseurs, etc.). Si l’auditeur se limite aux contrôles préconisés par les normes il est peu vraisemblable qu’il arrive à identifier cette non-exhaustivité des actifs ou des passifs. En effet, la fraude est toujours spécifique à l’entreprise dans laquelle elle se réalise et, par conséquent, la découvrir suppose une capacité à comprendre les mécanismes de fonctionnement de l’entreprise, à rentrer dans les processus de production, de distribution et de financement.

1.1.2. Une valorisation L’auditeur ne doit pas seulement contrôler la réalité et l’exhaustivité des éléments d’actifs et de passifs, il doit également s’assurer de leur correcte valorisation, c’est-à-

dire de leur valorisation en conformité avec les normes comptables applicables. Bien que les risques liés à la réalité et à l’exhaustivité aient des conséquences plus grandes que le risque de valorisation, car ils traduisent généralement, soit une incapacité à maîtriser les processus de l’entreprise, soit une volonté de frauder, le risque de valorisation conduit fréquemment à des réajustements comptables plus importants. Ainsi, un actif comptabilisé au coût historique, alors qu’il aurait dû être revalorisé au prix du marché ou inversement, peut avoir un impact comptable plus significatif que l’omission d’un actif entièrement amorti. Dans certains cas, le mode de valorisation des actifs peut conditionner le signe du résultat net comptable et transformer une perte en bénéfice. Cela ne change rien à la réalité des processus de l’entreprise, mais cela modifie la perception de la santé financière de l’entreprise par les utilisateurs des états financiers. Les auditeurs peuvent aisément être vigilants sur ces questions de valorisation. En effet, leur travail se limite alors à contrôler les calculs, les hypothèses et les documents utilisés par l’entreprise pour justifier les valorisations retenues. S’il y a un désaccord entre l’auditeur et son client, le désaccord porte généralement sur l’interprétation des normes comptables. Les conséquences peuvent être importantes en termes de communication financière, mais elles sont sans impact sur la gestion des processus de l’entreprise. Néanmoins, la difficulté des investisseurs financiers à appréhender la réalité des processus opérationnels des entreprises introduit une surfocalisation sur les enjeux de valorisation des actifs et des passifs. La juste valorisation de ces éléments semble servir de substitut à une mesure de la confiance que les investisseurs accordent aux dirigeants. Détourner légalement des actifs et dépouiller une entreprise de ses actifs semble une faute moins grave que de chercher à fausser la valorisation d’un élément de l’actif ou du passif de l’entreprise.

1.1.3. Une reddition des comptes Cet inventaire valorisé des actifs et des passifs s’accompagne du compte de résultat qui recense toutes les transactions intervenues au cours de l’exercice et qui, par différence entre les produits et les charges, calcule le résultat de l’exercice. Le risque principal pour l’auditeur est celui de compensation entre des charges et des produits. Or ce risque est un risque de présentation du compte de résultat qui n’affecte pas directement le bilan. Les contrôles de l’auditeur se limitent fréquemment au contrôle et au test des procédures de contrôle interne. Des investigations plus poussées peuvent néanmoins permettre de confirmer ou d’infirmer l’exhaustivité des actifs ou des passifs. La difficulté pour l’auditeur est de rentrer dans les processus opérationnels de l’entreprise et de ne pas s’arrêter au seul contrôle des transactions. En effet, si une

partie du chiffre d’affaires n’est pas enregistré en comptabilité, le contrôle des transactions sera généralement de peu d’aide. Seule l’analyse des processus permettra d’identifier les points sur lesquels il pourrait exister des transactions non comptabilisées. À titre d’exemple, le rapprochement des consommations (des achats fournisseurs) et des facturations (des ventes clients) peut permettre d’identifier des consommations ne donnant pas lieu à la facturation de produits finis ou de prestations de service.

1.2. Les principes généraux de l’audit des états comptables et financiers Un audit de certification signifie un audit dans lequel le professionnel exprime une conclusion destinée à améliorer le degré de confiance des utilisateurs. L’objectif d’un audit des états financiers est donc d’exprimer une opinion sur la concordance de la préparation des états financiers avec le cadre du reporting financier applicable, et ce pour tous les aspects significatifs.

1.2.1. Le risque d’audit et sa documentation Le travail d’un auditeur ne permet pas d’obtenir d’assurance à 100 % que les états financiers ne contiennent aucune erreur, ni que l’entreprise auditée ne sera pas confrontée ultérieurement à une remise en cause de sa continuité d’exploitation, ni que l’entreprise est bien gérée. Par contre, la planification et la réalisation de l’audit doivent permettre à l’auditeur de réduire le risque que les états financiers ne donnent pas une image fidèle de la situation de l’entreprise. Le niveau de risque résiduel doit être cohérent avec l’objectif d’audit. Pour atteindre ce niveau, l’auditeur devra éventuellement accroître le volume de preuves d’audit nécessaires pour pouvoir se forger une opinion sur des bases raisonnables. L’auditeur n’a pas pour objectif d’identifier toutes les inexactitudes, mais seulement celles qui sont significatives et qui peuvent affecter la perception de l’image fidèle de l’entreprise ou des phénomènes économiques sous-jacents. Pour apprécier la matérialité (l’aspect significatif) d’une inexactitude, l’auditeur ne doit pas la considérer indépendamment des autres inexactitudes relevées. La formation de son opinion sur l’image fidèle des comptes repose sur la prise en compte de la totalité des anomalies relevées. Le risque d’audit est la combinaison du risque que les états financiers soient significativement inexacts (avant la réalisation de l’audit) et le risque que l’auditeur ne détecte pas ces inexactitudes (risque de détection). Mais le risque d’inexactitude des états financiers est lui-même la résultante de deux risques : le risque inhérent, c’est-àdire le risque que la préparation des états comptables ait abouti à y inclure des éléments inexacts ; et le risque de contrôle, c’est-à-dire le risque que le système de contrôle interne de l’entreprise n’ait pas détecté ces inexactitudes. Par conséquent le risque d’audit est globalement la composition des trois risques : risque inhérent, risque de contrôle et risque de détection. Si l’auditeur n’est responsable que du risque de détection, il doit néanmoins évaluer les deux autres risques pour déterminer les zones à risque sur lesquelles il devra plus particulièrement faire porter ses investigations. Lors de sa mission, l’auditeur doit faire preuve de scepticisme professionnel. Il doit

considérer la possibilité que les états financiers soient significativement infidèles à la représentation des phénomènes économiques et de la situation de l’entreprise. Concrètement, cela signifie que l’auditeur ne doit pas se contenter de résultats incohérents, qu’il doit systématiquement confronter les assertions faites par les préparateurs des états comptables avec la réalité des documents ou des transactions, qu’il ne doit pas sous-évaluer l’impact de situations exceptionnelles ou peu courantes. Chaque équipe d’audit doit appliquer les règles de contrôle qualité au cours de sa mission. C’est l’associé signataire de la certification des comptes qui endosse la responsabilité du contrôle qualité pour chacune des équipes d’audit qui interviennent sur ses dossiers. La revue des dossiers fait donc partie intégrante du processus de contrôle qualité (ISA8 220). La documentation d’audit (ISA/NEP9 230) doit permettre la constitution d’un dossier d’audit, la matérialisation des contrôles effectués, et la justification de la réalisation des travaux d’audit en conformité avec les normes applicables. La documentation facilite également la réalisation des travaux des auditeurs, que ce soit par la prise en compte des interactions entre différents éléments des états financiers audités, ou par la consultation des travaux déjà réalisés au cours de la même mission ou au cours de missions antérieures. La documentation peut être conservée sous format papier ou électronique (ou tout autre média). Elle inclut les programmes d’audit, les synthèses des travaux, les lettres de confirmation et de représentation, les questionnaires, les correspondances, etc. Par contre, elle ne constitue en aucune manière une sauvegarde des documents comptables de l’entreprise. La documentation doit permettre à un auditeur expérimenté, n’ayant pas travaillé sur le dossier, de comprendre la nature et l’étendue des travaux d’audit menés, leur conformité avec les normes d‘audit, les résultats des tests d‘audit effectués, les résultats significatifs relevés durant l’audit et les conclusions qui en ont été tirées. Dans les documents de travail qui sont conservés, l’auditeur doit mentionner les caractéristiques des transactions ou des enregistrements comptables qui sont contrôlés. De manière général, chaque test d’audit doit rappeler l’objectif poursuivi par l’auditeur, l’identification de la personne ayant effectué le test et l’identité de la personne ayant assuré la revue du test, la nature des transactions contrôlées, la date ou la période de réalisation des contrôles, l’étendue des contrôles pratiqués, les résultats, les conclusions. Les documents de travail doivent être classés hiérarchisés et référencés entre eux (cross référencés selon l’anglicisme souvent en usage dans les cabinets d’audit). Les brouillons et les documents dispersés doivent être détruits. Les programmes de travail doivent être visés. Le dossier doit être discuté avec l’associé signataire avant la date du

rapport de certification. Si des anomalies ont été relevées, et que finalement elles ne sont pas prises en compte dans le rapport définitif d’audit, l’auditeur doit clairement justifier par écrit sa position dans le dossier d’audit en expliquant les arguments matériels et les facteurs qui l’ont conduit à adopter sa position définitive.

1.2.2. L’évaluation de l’incidence des anomalies relevées Les anomalies relevées par l’auditeur dans la présentation des comptes annuels diffèrent selon qu’elles ont ou non un impact sur le résultat. Les erreurs sans impact sur le résultat peuvent résulter d’erreurs de comptabilisation ou de décisions de gestion contestables. Les erreurs de comptabilisation peuvent résulter de la compensation entre des éléments d’actif ou de passif ou entre des produits et des charges. Pour apprécier le caractère significatif de ces erreurs, l’auditeur doit tenir compte de leur montant en valeur absolue et de leur impact en valeur relative sur les comptes concernés. Une erreur est significative si elle est susceptible d’induire en erreur les lecteurs des comptes annuels. La compensation actif/passif, en sous-évaluant le montant des dettes, peut artificiellement enjoliver la situation financière de l’entreprise. Il en est de même si l’entreprise anticipe comptablement des rentrées d’argent en débitant son compte de banque et en créditant ses clients. Dans ce cas, le total du bilan n’est pas nécessairement affecté, mais les dirigeants améliorent la liquidité de l’entreprise. Selon le niveau relatif des erreurs, l’auditeur devra émettre des réserves et mentionner la nature des anomalies relevées. Les erreurs sans impact sur le résultat peuvent également concerner l’annexe et les informations qui doivent y figurer obligatoirement ou celles qui doivent y figurer si elles sont de nature significative. Une mauvaise ventilation de l’échéancier des créances et des dettes peut conduire à sous-évaluer les problèmes de liquidité de l’entreprise en faisant croire que l’essentiel des dettes n’est pas exigible à court terme. Dans tous les cas, l’auditeur doit se demander si les erreurs relevées sont de nature à fausser significativement les analyses qui sont faites à partir des comptes annuels. Les erreurs relevées par l’auditeur et ayant un impact sur le résultat sont non seulement évaluées en proportion du compte concerné, mais également en fonction du résultat net, du résultat d’exploitation et des capitaux propres. Le résultat net est très sensible aux décisions de gestion. La prise en compte de provisions pour restructurations, l’amortissement dans les comptes consolidés des écarts d’acquisition (les survaleurs ou goodwill) peuvent entraîner de très fortes variations du résultat net. Le résultat net est donc avant tout un signal adressé aux tiers sur les perspectives de l’entreprise et sur la volonté des dirigeants.

Un dirigeant peut dégager un résultat net en forte perte lorsqu’il vient d’être nommé, car les tiers et les marchés anticipent une remise en ordre de l’entreprise. À l’inverse, la publication récurrente de pertes indique que le dirigeant ne sait pas résoudre une situation de crise. Afin de conserver son poste, un dirigeant préférera dégager un léger résultat bénéficiaire au détriment de l’orthodoxie des règles comptables. L’auditeur est le garant du respect des règles comptables et il doit apprécier non seulement l’ampleur des provisions exceptionnelles constatées en cas de restructurations, mais également l’image fidèle de l’entreprise que les comptes doivent assurer. Pour une entreprise en difficulté, l’auditeur peut légitimement considérer que les provisions constatées, ou les reprises de provision effectuées ne doivent pas permettre de transformer un résultat net déficitaire en résultat net bénéficiaire. Le résultat net n’est pas seulement un signal adressé aux marchés, il constitue également la base à partir de laquelle le résultat fiscal est déterminé. L’auditeur doit tenir compte de l’impact possible en termes de redressement fiscal des anomalies relevées. L’importance d’une anomalie est accrue si celle-ci accroît le risque fiscal pesant sur l’entreprise. Les erreurs affectant le résultat faussent les analyses financières et rendent difficiles les comparaisons sectorielles et historiques. De nombreuses méthodes de valorisation des entreprises reposent sur l’évaluation des flux de liquidité dégagés. Les erreurs ayant un impact sur le résultat et sur la capacité d’autofinancement peuvent avoir un effet multiplicateur si elles aboutissent à surévaluer les flux futurs de liquidité. Les erreurs relevées peuvent également avoir des conséquences fortes si elles traduisent une perte tendancielle de rentabilité de l’entreprise. Les anomalies peuvent alors inciter l’auditeur à déclencher la procédure d’alerte en raison de l’absence de garantie de la continuité d’exploitation.

1.2.3. D’une approche analytique à une approche systémique L’audit est une démarche analytique ; c’est-à-dire que, pour s’assurer de la conformité à la norme, l’audit décompose et compare les éléments point par point. Or, comme l’ont mis en évidence les approches systémiques, il existe une différence importante entre un système et ses composants. Un système n’est pas seulement la somme de ses composants, il est également le résultat des interactions entre les divers composants. L’audit doit donc non seulement s’assurer de la conformité des composants, mais également de la pertinence de leur utilisation. En matière comptable, on retrouve cette difficulté pour l’enregistrement des opérations de couverture ou pour les opérations d’arbitrage. Normalement, les principes comptables prévoient la non-compensation entre les actifs et les passifs, les charges et les produits. Mais, si une entreprise est

exposée à un risque pour lequel elle doit normalement enregistrer une charge et qu’elle décide parallèlement de se couvrir en passant un contrat avec un tiers qui accepte de porter le risque en contrepartie d’une rémunération, alors il est logique de considérer que l’entreprise ne doit enregistrer en charge que le montant de la rémunération consentie et non le risque lui-même puisque ce dernier a été transféré à un tiers.

Encadré 3.1 Les interactions entre des événements individuels L’entreprise Alpha exerce son activité en France. Elle a néanmoins effectué des prestations de services en Asie et, en contrepartie, elle a une créance de 1 million de dollars payable en dix mensualités de 100 000 $. Si l’entreprise souhaite suivre mensuellement l’incidence des variations de taux de change, elle doit enregistrer comptablement en charge ou en produit l’écart entre la valeur historique de sa créance exprimée en euro et la valeur actuelle. Si l’entreprise décide de passer un contrat avec une banque pour que celle-ci assure la couverture de cette créance ; par exemple, au taux de 1 $ = 0,8 € moyennant une commission de x € ; l’entreprise peut alors ignorer les variations de taux de change puisque ces variations sont désormais supportées par la banque. L’exemple se complique si l’intermédiaire choisi par l’entreprise ne présente pas toutes les garanties nécessaires à la bonne réalisation du contrat. Par exemple, l’entreprise a pu recourir à une place de marché informelle où les parties ne sont pas obligées de déposer de dépôts de garantie sur leurs engagements. Si l’intermédiaire est en difficulté financière, l’entreprise peut, in fine, se retrouver à nouveau avec le risque de change qu’elle avait souhaité éviter. De même, l’intermédiaire peut avoir prévu des clauses spécifiques qui excluent son obligation de couverture en cas d’événements extrêmes tels que, par exemple, des situations de conflits armés, des catastrophes naturelles, des mouvements sociaux qui entraîneraient une variation brutale du cours des devises, etc. Enfin, la couverture peut ne pas être parfaitement ajustée à l’actif ou au passif sous-jacent (par exemple parce que la devise n’est pas le $ américain, mais une monnaie qui lui est liée et qui

pourrait connaître, dans des circonstances extrêmes, des mouvements qui lui seraient propres). Dans ces différents cas, il peut être préférable de dissocier les deux contrats et d’enregistrer à la fois en charges ou produits les variations mensuelles du contrat initial et les variations symétriques dues au contrat de couverture. Au-delà des impacts particuliers sur les différents comptes de l’entreprise, ou même sur ses différents cycles, l’enjeu de la certification des comptes est aussi la présentation d’une image fidèle pour l’entreprise dans son ensemble. La plupart des catastrophes financières de ces deux dernières décennies résultent d’une focalisation excessive sur les détails des comptes et sur une incapacité à prendre la hauteur nécessaire pour appréhender la réalité des risques générés par l’activité de l’entreprise.

1.3. L’information sociale et environnementale « De nombreuses entités, en particulier dans des secteurs d’activité où les facteurs environnementaux sont significatifs et où les membres du personnel sont considérés comme un groupe d’utilisateurs important, présentent, en dehors des états financiers, des rapports et des états tels que des rapports sur l’environnement et des états de valeur ajoutée. Les rapports et états présentés en dehors des états financiers n’entrent pas dans le champ d’application des IFRS » (IAS1 §14). L’audit des états financiers ne porte donc pas sur les informations sociales ou environnementales. Néanmoins, de nombreuses entreprises produisent un rapport de développement durable ou de responsabilité sociale en sus de leur rapport financier. La question de la fiabilité et de la comparabilité des informations communiquées se pose donc. Des référentiels normatifs émergent progressivement mais, derrière, se pose la question de la nature de l’information et des utilisateurs de cette information.

1.3.1. L’émergence d’un référentiel normatif En France, depuis la loi NRE (Nouvelles Régulations Économiques) de 2001, les entreprises cotées doivent produire un rapport RSE (Responsabilité Sociétale de l’Entreprise). Cette obligation a été élargie en 2010 et 2012 aux entreprises de plus de 500 salariés. Selon le décret d’application du 24 avril 2012, le rapport du conseil d’administration ou du directoire expose les actions menées et les orientations prises par la société pour prendre en compte les conséquences sociales et environnementales de son activité et remplir ses engagements sociétaux en faveur du développement durable.

Les informations communiquées doivent porter sur trois principaux domaines : • social : l’emploi, l’organisation du travail, les relations sociales, la santé et la sécurité, la formation, l’égalité de traitement ; • environnemental : la politique générale en matière environnementale, la pollution et la gestion des déchets, l’utilisation durable des ressources, le changement climatique, la protection de la biodiversité ; • sociétal : l’impact territorial, économique et social de l’activité de la société, les relations entretenues avec les personnes ou les organisations intéressées par l’activité de la société, la sous-traitance et les fournisseurs. Ces informations ne font pas l’objet d’une certification, mais d’une vérification par un organisme tiers indépendant. Cet organisme doit fournir un avis motivé sur la sincérité des informations et il doit également indiquer les diligences mises en œuvre. Les termes utilisés par le décret de 2012 visent à éviter toute confusion avec la mission légale de certification des états financiers. Néanmoins, cette mission d’attestation s’apparente à une mission d’audit. La question centrale est celle du référentiel normatif. En effet, si le décret fixe une liste de quarante-deux thématiques, il ne donne ni la manière de procéder ni la forme de l’information à produire. Si l’on effectue une comparaison avec le référentiel normatif comptable et financier, la comparaison est éloquente : d’un côté un décret de trois pages, de l’autre des normes comptables et financières qui approchent progressivement du millier de pages. Pourtant, si l’on compare le volume des rapports publiés par les entreprises cotées, il est désormais fréquent que le rapport de développement durable (ou rapport RSE) soit plus volumineux que le rapport financier. D’autres référentiels normatifs existent, notamment : • le Pacte Mondial des Nations unies ; • la norme internationale ISO 26000 ; • les principes directeurs de l’OCDE à l’intention des entreprises multinationales ; • le GRI (Global Reporting Initiative). La démarche adoptée par la France s’inscrit en complément de ces divers référentiels et vise à transcrire en droit national des principes existant sur le plan international.

1.3.2. Les critères d’exhaustivité et de réalité Si l’on parle d’attestation et non de certification, c’est parce que le référentiel normatif ne permet pas de certifier que les informations communiquées reflètent la réalité et l’intégralité (l’exhaustivité) des informations sociales, environnementales et sociétales. Parce que ces informations sont qualitatives avant d’être quantifiables et parce que leurs quantités ne sont pas nécessairement comparables, les questions de

contrôle se posent avec une grande acuité. Certaines informations peuvent aisément être synthétisables, par exemple l’égalité de traitement pour un poste donné. Alors que les données comptables perdent leur individualité dès qu’elles sont appréhendées uniquement sous l’aspect financier (elles deviennent des nombres soumis aux opérations arithmétiques), les données sociales, environnementales et sociétales ne peuvent jamais être totalement dissociées de leur cadre. Pour reprendre l’exemple du critère d’égalité de traitement, la définition d’un poste de travail va fortement influer sur le calcul des rémunérations qui y sont liées. Une définition étroite intègre nécessairement des effets d’ancienneté. Une définition large peut gommer les disparités éventuelles. D’autres informations sont peu synthétisables, par exemple les relations entretenues avec les personnes ou les organisations intéressées par l’activité de la société. La question du contrôle porte sur l’étendue des relations à prendre en compte. Où arrêter le périmètre, quel est le critère permettant de considérer une relation comme étant significative ? Dans les rapports de développement durable, il arrive fréquemment d’observer des informations anecdotiques par rapport à la taille de l’entreprise concernée. L’audit va donc attester de l’existence des informations requises par la loi ou par les référentiels normatifs internationaux et il va donner un avis sur la pertinence de l’information fournie. Il ne certifie pas l’information, car cela exigerait qu’il porte un regard sur la qualité de représentation de cette information. Or, ceci poserait nécessairement des questions normatives très lourdes puisque, si l’information comptable et financière peut être considérée comme comparable d’une entité à une autre, d’un pays à un autre10, il n’en est pas du tout de même dès que l’on s’intéresse à l’information sociale, environnementale et sociétale. Par nature, cette information est contextualisée, elle est liée aux territoires dans lesquels l’entreprise opère. Aboutir à une certification de l’information sociale, environnementale et sociétale serait reconnaître à l’auditeur la possibilité de porter un jugement sur la qualité de représentation de l’engagement social, environnemental et sociétal de l’entreprise. Ce serait, par conséquent, confier à l’auditeur un pouvoir de jugement extraordinairement important. Cela nécessiterait que le choix de l’auditeur ne s’exerce pas uniquement dans le cadre de marché d’une prestation de services, mais qu’il y ait réellement une délégation par les parties prenantes de ce pouvoir d’évaluation et de jugement. L’auditeur deviendrait un censeur, au sens fort du mot : celui qui a le pouvoir de censurer l’action des dirigeants en signalant leurs réussites comme leurs échecs ou leurs abus.

2. Qualité de l’audit et gouvernance d’entreprise L’audit joue un rôle essentiel dans la gouvernance d’entreprise, en raison de sa capacité à réduire les différentes asymétries d’information. Dans les PME familiales où le dirigeant est le fondateur ou un membre du groupe familial, l’effort de coordination, de surveillance et de contrôle est facilité par l’existence de liens familiaux qui renforcent le poids des liens financiers. L’information peut également circuler de façon plus informelle entre les membres de la famille. Dans les entreprises à actionnariat plus diffus, le principe d’égalité des actionnaires exige une plus grande formalisation de l’information diffusée et un contrôle de la qualité de cette information.

2.1. L’audit et la réduction de l’asymétrie d’information Une des principales causes de la relation d’agence entre dirigeants et actionnaires est l‘asymétrie d’information. Si les actionnaires avaient une connaissance parfaite des actes des dirigeants et des éléments d’information dont ce dernier dispose, ils seraient à même d’apprécier la pertinence des décisions de gestion11. La transmission d’informations et, en particulier, l’établissement des comptes annuels ou des situations trimestrielles, a ainsi pour objet de réduire l’asymétrie d’information, en mettant à la disposition des actionnaires une partie de l’information dont dispose le dirigeant. Néanmoins, le dirigeant est en même temps le responsable de l’information financière fournie aux tiers, et en particulier aux actionnaires. Pour des raisons d’intérêt personnel, il peut être tenté de modifier la présentation des états financiers pour donner une vision de la performance de l’entreprise plus favorable à ses intérêts. Il en est notamment ainsi quand la rémunération du dirigeant est pour partie indexée sur des mesures de performance comptable. Dans ce cadre, afin de réduire les asymétries d’information, l’audit a pour objet de fiabiliser tout ou partie des informations transmises. Celles-ci peuvent concerner la performance passée, pour mesurer la pertinence a posteriori de la stratégie du dirigeant, mais elles peuvent également prendre la forme de prévisions, quand il s’agit de faire appel public à l’épargne ou de déterminer les modalités d‘une fusion ou d’une acquisition.

2.1.1. Les différentes formes d’asymétrie de l’information L’audit permet de réduire, à trois niveaux différents, l’asymétrie d’information liée au gouvernement des entreprises (graphique 3.1). • Le niveau le plus souvent étudié est celui entre les dirigeants et les représentants des actionnaires. Le conseil d’administration ne peut observer qu’imparfaitement les efforts déployés par les dirigeants et la pertinence des choix effectués. En validant les procédures de contrôle interne, l’audit peut permettre aux administrateurs de

s’assurer que les dirigeants contrôlent réellement l’entreprise, qu’ils ont mis en place des procédures pour garantir la sauvegarde des actifs, l’application des décisions stratégiques et la remontée des informations de gestion. À travers le comité d‘audit, ou, même, directement au sein du conseil d’administration, les administrateurs peuvent exiger d’avoir accès aux informations de gestion servant de base à l’élaboration et à l’évaluation des grandes décisions stratégiques. Il leur est par contre nécessaire de s’assurer que les informations qui leur sont transmises sont fiables, et que les systèmes mis en place pour les collecter sont rigoureux. Ce contrôle peut rentrer dans les attributions d’un auditeur externe. • Le second niveau d’asymétrie d’information est entre les actionnaires et leurs représentants, les administrateurs. Ces derniers ont accès aux informations internes de gestion alors que les actionnaires n’ont accès qu’aux comptes annuels et aux informations financières diffusées dans la presse pour évaluer la pertinence des stratégies mises en œuvre et l‘efficacité du contrôle exercé par le conseil d’administration. Il est donc nécessaire que les informations transmises soient fiabilisées. C’est l’objet de la certification des comptes annuels et du contrôle exercé par les commissaires aux comptes. • Le troisième niveau d’asymétrie d‘information existe quand des actionnaires d’une entreprise souhaitent ouvrir leur capital et faire appel public à l’épargne. Les auditeurs doivent viser la note transmise aux investisseurs potentiels afin d’assurer une certaine fiabilité aux informations fournies.

Graphique 3.1 L’audit et la réduction de l’asymétrie d’information

2.1.2. Les coûts liés à la séparation des fonctions de direction, de propriété et de contrôle Les coûts liés à cette relation d’agence entre les propriétaires et les dirigeants sont12 : • les dépenses de surveillance effectuées par les actionnaires, c’est-à-dire les coûts supplémentaires supportés par les propriétaires pour s’assurer que les dirigeants gèrent correctement leur entreprise ; • les dépenses de dédouanement effectuées par le dirigeant, c’est-à-dire les coûts supportés par le dirigeant pour prouver à ses actionnaires qu’il gère l’entreprise au mieux de leurs intérêts. En contrepartie de ces dépenses de dédouanement, le dirigeant peut espérer percevoir une rémunération plus importante ou tout simplement être maintenu à son poste ; • la perte résiduelle, c’est-à-dire le coût lié à la non-convergence absolue des intérêts du dirigeant et du propriétaire, malgré les mécanismes de surveillance et de dédouanement mis en place. Cette perte résiduelle sera d’autant plus importante que l’asymétrie d’information entre les dirigeants, le conseil d’administration et les actionnaires sera forte. L’audit constitue une dépense permettant de limiter la perte résiduelle en réduisant l’asymétrie d’information. En effet, les actions du dirigeant (en fait, les conséquences de ses actions et de ses décisions) pouvant être directement observées, ce dernier doit être plus attentif aux intérêts des propriétaires. Par la même occasion, l’audit peut favoriser une réduction des autres dépenses de surveillance ou de dédouanement supportées tant par les actionnaires que par les dirigeants. La gouvernance des entreprises peut donc être considérablement amélioré en ayant recours à des prestations d’audit adaptées aux spécificités de l’entreprise.

2.1.3. Le contrôle des introductions en Bourse Dans le cas d’un appel public à l’épargne, les entreprises doivent déposer une notice auprès de l’AMF (Autorité des Marchés Financiers) indiquant non seulement leur situation actuelle et passée, qui fait l’objet de comptes soumis à certification par les auditeurs, mais également leurs prévisions d’activité pour les périodes à venir. Dans le cas d’une introduction en Bourse, l’asymétrie d’information entre les dirigeantspropriétaires et les investisseurs potentiels est maximale puisque la valeur d’une entreprise ne dépend pas tant de sa valeur comptable nette que de l’évaluation de ses flux de liquidité futurs (cash-flows) actualisés. La plupart des introductions boursières se font avec une décote importante (notamment pour les petites sociétés). En effet, le cédant connaît mieux que l’acquéreur la situation réelle de la société introduite en Bourse ; les nouveaux actionnaires exigeront donc une

décote sur la valeur de marché estimée de l’entreprise pour couvrir le risque que le cédant ait légèrement surestimé la valeur de marché de son entreprise. Cette décote reflète l’asymétrie d’information et est très coûteuse pour les dirigeants-propriétaires. Ces derniers ont donc intérêt à engager des dépenses supplémentaires pour réduire cette asymétrie d’information. L‘asymétrie d’information entre les dirigeants propriétaires et les investisseurs potentiels est particulièrement sensible en cas de première introduction en Bourse. Cette asymétrie d’information entraîne une sous-valorisation du prix de l’offre et une moindre ouverture du capital que celle initialement souhaitée. En effet, pour valider l’information fournie aux investisseurs et attester de sa crédibilité, les entrepreneurs sont conduits à conserver une part importante du capital. Ils peuvent aussi envoyer au marché un signal à travers le choix de la banque d’affaires réalisant l‘introduction en Bourse. Les banques d’affaires les plus prestigieuses introduiront les entreprises les moins risquées en leur faisant bénéficier d‘une décote plus faible que les entreprises plus risquées introduites par des banques d’affaires moins prestigieuses. Les entrepreneurs peuvent également recourir à l‘audit pour valider les informations fournies. Dans ce cas, plus le risque lié à l’entreprise et à son secteur d’activité sera élevé et plus la qualité de l’audit devra être importante pour réduire l’asymétrie d’information.

2.2. La qualité de l’audit « La qualité de l’audit est définie comme l’appréciation par le marché de la probabilité jointe qu’un auditeur donné va simultanément (a) découvrir une anomalie significative dans le système comptable de l’entreprise cliente et (b) mentionner cette anomalie. »13 Bien que les normes d’audit exigent le recours à une analyse des risques, la probabilité de découverte d’une anomalie dépend de la compétence du cabinet d’audit (en termes de ressources humaines et matérielles14) et des procédures d’audit utilisées (pertinence des procédures de contrôle utilisées par rapport aux risques supposés). Mais au-delà de cette question de compétence se pose aussi la question de la capacité de l’auditeur à s’opposer à son client en exigeant une modification des états financiers, ou en refusant de certifier ou en certifiant avec réserve.

2.2.1. L’indépendance de l’auditeur D’un point de vue économique, l’indépendance d’un cabinet d’audit, par rapport à un client, peut s’évaluer à partir d’une analyse des rentes que le cabinet perçoit de son client. En effet, la qualité d’une mission d’audit nécessite l’évaluation des risques d’audit spécifiques au client. Ceci suppose, de la part de l’auditeur, un investissement important lors de l’acceptation d’un nouveau mandat. Une fois cet investissement

réalisé, l’auditeur en place possède un avantage compétitif sur les autres auditeurs. Cette réduction de la compétition permet à l‘auditeur titulaire de facturer des honoraires supérieurs au coût réel de la prestation d’audit. Cette différence entre le montant des honoraires facturés et le coût annuel de la prestation d’audit constitue des rentes (ces rentes sont donc en partie justifiées pour couvrir les coûts initiaux d’évaluation des risques d’audit). Économiquement, le client n’a pas intérêt à changer d’auditeur, car : • les postulants éventuels devraient supporter le coût initial d’appréciation des risques spécifiques au client et factureraient leur prestation à un tarif plus élevé ; • l’entreprise cliente supporterait à nouveau les coûts liés à la prise de connaissance de son organisation par le nouvel auditeur. Ces coûts que subit le client comprennent principalement des coûts humains liés au temps passé par les dirigeants et le personnel de l’entreprise à expliquer le fonctionnement et les spécificités de l’organisation au nouvel auditeur. Mais ils comprennent aussi des coûts matériels liés à l’analyse par le cabinet d’audit des systèmes d’exploitation informatiques, des logiciels, et tout simplement des coûts de mise à disposition des documents nécessaires pour constituer le dossier permanent d’audit du cabinet. Plus les coûts spécifiques à un client et liés à une nouvelle mission d’audit sont élevés et plus la rente perçue devrait être importante (puisque l’auditeur récupère sur les années ultérieures son investissement initial dans l’évaluation des risques d’audit). La cession d’une clientèle permet de mesurer cette rente, puisque l’acquéreur est prêt à payer un montant correspondant à l’investissement qui serait nécessaire pour constituer le dossier permanent et recenser les principaux risques d’audit de l’entreprise cliente. Cette approche est corroborée par l‘observation des transactions sur le marché de l’audit et, dans une moindre mesure, sur celui de l’expertise comptable qui s’exerce dans un cadre sensiblement équivalent. En effet, la reprise d’un mandat de commissariat aux comptes est couramment facturée plus d’une fois les honoraires annuels facturés (ce montant dépend en partie de la durée résiduelle du mandat de commissariat aux comptes et il peut atteindre le double des honoraires). La relation est identique, mais à un niveau moindre, pour les dossiers d’expertise comptable dont l’horizon est toujours annuel et qui se cèdent à un prix voisin d’une fois les honoraires annuels. L’entreprise cliente est consciente de la rente que perçoit son auditeur, bien qu’elle ne puisse pas la supprimer. Par contre, dans la négociation entre l’auditeur et le client au sujet des anomalies relevées, le client se trouve en situation favorable pour obtenir des concessions de son auditeur à travers la menace de non-renouvellement de son mandat. Cette menace n’est pas neutre, puisque l’appréciation du caractère anormal de certaines transactions dépend de critères de significativité (par définition subjectifs) et du choix opéré en matière de principes comptables (par exemple, concernant le traitement des survaleurs liées à l’acquisition d’entreprises).

On considère fréquemment que la taille du cabinet d’audit constitue un substitut pour mesurer son indépendance. En effet, la qualité de l’audit dépendant de l’indépendance perçue du cabinet, ce dernier a tout intérêt à conserver son image d’indépendance qui lui permet d’obtenir de nouveaux clients et de facturer à un prix plus élevé ses prestations. Le coût d’une éventuelle mise en cause de son indépendance est donc bien supérieur aux dommages et intérêts auxquels il peut être condamné, puisque cette mise en cause peut entraîner une réduction de son image de marque (son indépendance et sa compétence), ce qui, par ricochet, peut susciter une perte de clientèle ou une remise en cause des honoraires négociés. Il est donc recommandé à tout cabinet d’audit de ne pas avoir un client qui représente une part trop significative de son chiffre d’affaires, sous peine de perdre cette image d’indépendance.

2.2.2. Les normes de contrôle qualité L’objet d’un système de contrôle qualité est de s’assurer que le cabinet d’audit et son personnel respectent et appliquent les normes légales et professionnelles, et que les rapports de certification émis par le cabinet et les associés signataires sont adaptés aux circonstances. Le cabinet doit établir une politique générale et des procédures pour promouvoir une culture interne fondée sur la reconnaissance de rôle central de la qualité dans la réalisation des missions. C’est au dirigeant du cabinet d’assumer la responsabilité ultime du système de contrôle qualité. La culture de l’excellence doit permettre d’aligner les incitations sur la mise en œuvre effective de la qualité. Cette culture de l’excellence peut être véhiculée par les séminaires de formation, les réunions, les notes d’orientation, la documentation et la construction des dossiers de travail. Les procédures d’évaluation, de rémunération et de promotion doivent traduire l’engagement de la direction en faveur de la qualité. La nomination d‘un responsable du contrôle qualité doit privilégier un auditeur ayant une expérience professionnelle suffisante, une autorité naturelle et la capacité à assumer des responsabilités. En 2002, après l’éclatement de l’affaire Enron, de nombreux cabinets d’audit ont été confrontés à des jugements portant sur des problématiques similaires à celles soulevées par les pratiques de déconsolidation et de valorisation de transactions comptables complexes. En France, l’entreprise Vivendi Universal, dirigée alors par Jean-Marie Messier, était confrontée à des attentes fortes de la part de ses actionnaires et de ses créanciers et certains montages comptables et financiers imaginatifs furent proposés. Lors de l’arrêté des comptes 2001, au printemps 2002, ces montages ont été acceptés par les associés signataires de la certification des comptes, mais ils ont été refusés par le responsable du contrôle qualité de l’un des deux cabinets. L’entreprise Vivendi Universal constituant un dossier économiquement très significatif

pour les deux cabinets d’audit (et particulièrement pour les associés concernés), le responsable du contrôle qualité a été soumis à des pressions très fortes pour revenir sur sa décision. Devant son refus d’obtempérer, il a été licencié du jour au lendemain avant d’être réintégré sous la pression de l’AMF. Finalement, c’est sa position qui a prévalu dans la présentation des comptes. L’engagement en faveur de l’excellence n‘est donc pas qu’un simple argument commercial. Fondamentalement, cet engagement doit également se traduire dans les procédures et dans le choix des individus pour assumer des responsabilités et signer la certification des comptes. Les procédures du cabinet doivent favoriser l‘application et le respect des codes d’éthique et de déontologie. Elles doivent en particulier préciser les conditions exigées des collaborateurs pour le respect du principe d’indépendance. C’est ainsi que certains réseaux d’audit interdisent à leurs collaborateurs intervenant sur des sociétés cotées d’acheter ou de vendre, directement ou indirectement, des actions d’entreprises cotées. Les manquements aux critères d’indépendance doivent faire l’objet d’une identification et d’une communication très rapides. Chaque collaborateur doit s’engager par écrit au moins une fois par an à respecter les règles d‘indépendance du cabinet. Les règles de proximité avec les cadres dirigeants des entreprises auditées doivent être édictées et respectées. Cela peut passer par une rotation des associés signataires, ou des managers assurant la mission sur le terrain. La continuation de la relation contractuelle avec le client suppose que l’auditeur a examiné l’intégrité du client et qu’il ne dispose d‘aucune information le conduisant à mettre en doute cette intégrité ; que l’auditeur considère disposer des compétences, du temps et des ressources nécessaires pour accomplir correctement sa mission ; et qu’il respecte les exigences éthiques. Pour évaluer l’intégrité de son client, l’auditeur peut se référer à l’identité de ses propriétaires, à la personnalité de ses dirigeants ou à la composition de ses organes de gouvernance. En 2004, l’entreprise de distribution de parfums Marionnaud a annoncé des corrections sur ses exercices antérieurs. Pourtant, les exercices précédents avaient été certifiés sans réserves par les commissaires aux comptes. Indépendamment de l’interprétation comptable des traitements à effectuer sur certaines opérations complexes (notamment la prise en compte des points fidélité octroyés à la clientèle), les commissaires aux comptes auraient dû être plus vigilants sur l’intégrité de cette société en raison de la composition de ses organes de gouvernance où ne siégeaient que des personnes directement liées au fondateur et principal actionnaire15. Le cabinet d’audit doit disposer des ressources humaines nécessaires pour assurer ses missions. L’adéquation des ressources humaines peut être évaluée sur différents

critères : • le recrutement et l’évaluation de la performance : le processus de sélection des candidats doit intégrer une évaluation de leurs critères d’intégrité et de leur capacité à faire évoluer leurs compétences ; • la capacité et la compétence : elles peuvent être développées par l’éducation, la formation continue, l’expérience professionnelle et la diversité des missions, l’apprentissage auprès d’un auditeur expérimenté ; • le développement de carrière, la promotion et la rémunération : les auditeurs doivent être informés des critères retenus par le cabinet. Celui-ci doit mettre l’accent sur le respect des principes éthiques et des normes professionnelles dans l’accès aux responsabilités. Les fautes professionnelles et éthiques doivent être sanctionnées. Chaque mission doit être confiée à un associé qui en assume la responsabilité. Ce dernier doit pouvoir disposer des ressources nécessaires à l’accomplissement de la mission.

2.2.3. La conformité aux normes de qualité Les politiques générales et les procédures du cabinet doivent garantir la conformité aux normes légales et professionnelles. Cela passe par la constitution de dossiers de travail documentés et par l’existence de revues de dossiers. Les documents de travail (dossiers permanents, dossiers annuels) doivent être conservés sur une durée suffisante pour répondre aux besoins du client ou de la législation. L’objet de la supervision est de s’assurer que les politiques générales et les procédures de contrôle qualité sont pertinentes, adéquates et réellement mises en œuvre. La supervision doit donc tenir compte de l’évolution de la réglementation, de la nature du cabinet d’audit ou du réseau d’audit auquel il appartient, de la localisation géographique des bureaux, de la nature du processus de coordination entre les bureaux (centralisation versus décentralisation des décisions), de la complexité des clients ou des domaines d’activités des clients. En cas de divergence d’opinions entre les membres de l’équipe d’audit, les procédures doivent permettre l’identification des points de divergence et le mode de résolution des divergences. Comme toute entreprise, le cabinet d’audit doit donc mettre en œuvre un processus de supervision garantissant la qualité de son système de contrôle interne. Ce processus conduira à communiquer aux responsables les déficiences observées et à s’assurer de la mise en œuvre des actions correctrices. Au moins une fois par an, les résultats du processus de supervision doivent être communiqués aux associés du cabinet d’audit. La supervision doit également permettre au cabinet de répondre aux allégations éventuelles de non-conformité aux normes légales ou professionnelles. Il s’agit donc aussi d’un

processus de protection du cabinet ou du réseau d‘audit, afin de démontrer que le cabinet a bien respecté les normes en vigueur et qu’en cas de malversations ou d’erreurs dans les états financiers d’un client, l’auditeur ne peut pas être tenu pour coresponsable.

2.2.4. Le contrôle légal de la qualité d’audit : PCAOB - H3C Le contrôle des auditeurs est désormais formalisé et confié à des organismes nationaux qui, progressivement, mettent en place des coopérations internationales. En 2008, la Commission européenne a effectué une recommandation sur l’assurance qualité externe des contrôleurs légaux des comptes et des cabinets d’audit qui contrôlent les comptes d’entités d’intérêt public. Cette recommandation porte sur la mise en place des autorités publiques de supervision et sur leur indépendance vis-à-vis des professions comptables ou d’audit. Le modèle de cet organisme de supervision est le PCAOB (Public Company Accounting Oversight Board) créé par la loi Sarbanes Oxley de 2002 pour superviser les auditeurs des entreprises cotées afin de protéger les intérêts des investisseurs et de servir l’intérêt général dans la préparation de rapports d’audit informationnels, justes et indépendants16. Le conseil d’administration du PCAOB est composé de cinq membres nommés par la SEC (Securities and Exchange Commission, l’équivalent américain de l’AMF, Autorité des Marchés Financiers). Le budget est alimenté par les entreprises cotées (et certains intermédiaires financiers) sous la forme d’une redevance. En 2016, le budget du PCAOB était de 250 millions de $17. Le PCAOB poursuit quatre principaux objectifs : • promouvoir la confiance des investisseurs dans les états financiers audités des entreprises cotées par l’utilisation efficace d’un modèle de supervision des cabinets d’audit ; • informer, éduquer et collecter de l’information auprès de la profession des auditeurs, des acteurs des marchés financiers, ou des autres parties prenantes, sur les activités de supervision du PCAOB et sur les meilleures pratiques d’audit ; • renforcer l’efficacité et la coordination de l’effort de supervision des auditeurs que ce soit aux États-Unis ou dans le monde ; • gérer le PCAOB dans le respect de l’intérêt général et en utilisant ses ressources à bon escient. En France, le H3C (Haut Conseil au Commissariat aux Comptes) a pour mission de veiller au respect de la déontologie et de l’indépendance des commissaires aux comptes, d’assurer la surveillance de la profession en France et d’assurer la coopération européenne et internationale des systèmes de supervision publique de la

profession d’auditeur. Depuis juin 2016, le H3C assure la responsabilité finale de l’adoption des normes, de la formation continue, de l’inscription, des contrôles de qualité et du système disciplinaire. Depuis la loi du 24 décembre 2007, le H3C est devenu une autorité publique indépendante dotée de la personnalité morale et de ressources propres. À la différence du PCAOB américain, le financement du H3C est assis sur les contributions de la profession des auditeurs, alors pour le PCAOB ce sont les audités qui financent l’exercice du contrôle qualité de la profession. Le H3C dispose d’un effectif de 50 personnes et d’un budget qui approche les 10 millions d’euros. Le H3C est présidé par un collège de douze membres : magistrats, commissaires aux comptes, personnalités qualifiées et représentants de diverses autorités publiques. Il émet des avis sur les normes d’exercice professionnel (NEP) proposées à l’homologation ainsi que sur le code de déontologie de la profession. Il est également membre d’organismes internationaux chargés de faciliter les coopérations internationales, notamment européennes. Le H3C met directement en œuvre le contrôle sur les six plus grands cabinets français ainsi que sur 48 autres considérés comme significatifs. Par contre, il délègue aux CRCC (Compagnies régionales des commissaires aux comptes) les contrôles pour les cabinets n’auditant pas d’entités d’intérêt public (EIP). Sur les 120 mandats contrôlés directement par le H3C en 2015, les observations ont porté : • sur les procédures : les cabinets doivent renforcer les contrôles exercés par leurs directions sur les mandats pour lesquels des risques ont été identifiés. Ils doivent également veiller au respect des obligations réglementaires, notamment les obligations réglementaires de formation des associés. De plus, les formations des personnes participant à l’audit sont également à renforcer dans le domaine des normes comptables internationales et dans le secteur des associations faisant appel à la générosité publique ; • sur les mandats : des insuffisances de diligences susceptibles d’affecter la fiabilité de l’opinion ont été notées sur presque 20 % des mandats contrôlés correspondant à des EIP. Les défauts de diligences ou de documentation portent sur des postes comptables significatifs ou à risque. Pour quelques mandats, l’opinion émise n’est pas cohérente avec les travaux menés puisqu’elle ne tient pas compte d’anomalies significatives relevées au cours du contrôle des comptes. Pour un certain nombre de mandats testés, la documentation des diligences reste insuffisante. Entre 2011 et 2015, le H3C a saisi le procureur général pour les cas de 345 cabinets à l’issue d’un premier cycle de contrôle. Les trois quarts des dossiers ont été classés sans

suite par les parquets. 16 % ont donné lieu à une sanction disciplinaire et 7 % sont en cours d’instruction. Sur les saisies réalisées à la suite d’un premier ou d’un deuxième cycle de contrôle, deux dossiers ont donné lieu à une radiation et trois à une interdiction temporaire. Le H3C intervient comme cour d’appel des jugements prononcés par les chambres régionales de discipline. Indépendamment de la formalisation de la procédure judiciaire qui, en elle-même, est une bonne chose, cette activité juridictionnelle permet d’établir une jurisprudence plus transparente et moins subjective. En effet, les affaires sont jugées de façon plus objective quand elles peuvent faire l’objet d’un recours et que ce recours est mentionné dans le rapport annuel du H3C. Le nombre de dossiers évolue entre 10 et 40 selon les années. L’activité juridictionnelle porte sur l’inscription, la discipline ou les honoraires.

2.3. Éthique et déontologie de l’auditeur La responsabilité d’un auditeur n’est pas uniquement de répondre aux besoins de son client, mais elle s’étend à la prise en compte de l’intérêt public. Par conséquent, un auditeur devra identifier les risques d’atteinte aux principes d’éthique et il devra appliquer, ou s’appliquer, des mesures afin de réduire ou d’éliminer ces risques. Dans certains cas, l’auditeur peut être amené à refuser une mission ou à cesser une mission quand il estime que les règles d’éthique sont mises en danger. Si, par inadvertance, un auditeur enfreint une règle d’éthique, il doit corriger cette violation sitôt qu’il s’en rend compte. La plupart des entorses au code d’éthique sont dues à la présence d’intérêts familiaux directs ou indirects, à un engagement en faveur de principes ou de méthodes ultérieurement remises en cause, à une trop grande familiarité et proximité avec des parties prenantes de l’entreprise auditée, à des menaces reçues ou perçues. Pour éviter de telles dérives, la législation doit renforcer les exigences de formation (initiale et continue), édicter des normes d’audit, prévoir des mécanismes de contrôle des auditeurs et des procédures disciplinaires, réguler la gouvernance des entreprises.

2.3.1. Les principes fondamentaux du code d’éthique de l’IAASB Les principes fondamentaux sont au nombre de cinq : l’intégrité, l’objectivité, la compétence, la confidentialité et le comportement. L’intégrité consiste à se conduire avec droiture et honnêteté dans les relations de travail. Elle implique également d’être digne de confiance et de respecter ses engagements. Concrètement, un auditeur ne doit pas accepter d’information qui soit erronée ou non justifiée, et il doit exiger que toutes les informations nécessaires à la

compréhension soient effectivement fournies. L’objectivité exige de ne pas se laisser influencer par son intérêt personnel ou par des intérêts particuliers. Il doit éviter les situations qui le conduiraient à se laisser influencer. Dans le cas d‘Enron, la proximité entre les dirigeants d’Enron et les associés du cabinet d’audit constituaient manifestement une atteinte au principe d’objectivité. Néanmoins, dans de nombreuses provinces françaises, il existe une certaine proximité entre dirigeants et associés des cabinets d’audit. L’enjeu est de conserver cette exigence d’objectivité. La compétence requiert une formation permanente (généralement matérialisée par les séminaires de formation organisés par les réseaux d’audit ou par les instances professionnelles). L’auditeur doit également être diligent, c’est-à-dire appliquer les normes d‘audit dans le respect des délais et avec la prudence nécessaire. Il doit exiger de ses collaborateurs ces mêmes qualités. La confidentialité interdit la communication d’informations confidentielles acquises au cours des travaux d’audit ou grâce à des relations professionnelles, sauf s’il existe une obligation légale ou professionnelle (par exemple, pour répondre à un contrôle qualité professionnel) de le faire. L’auditeur doit être attentif au risque de transmission d’informations à des personnes proches (familles, amis, relations de travail ou de loisir). Il ne doit jamais utiliser d‘informations confidentielles pour son intérêt personnel ou pour celui de certains tiers. Par conséquent, il doit s’assurer que les mécanismes de respect de la confidentialité sont en vigueur au sein de son équipe d’audit et au sein de son cabinet. L’exigence de confidentialité s’étend au-delà de la fin de la relation de travail. Le comportement implique le respect des lois et règlements. L’auditeur doit s’interdire tout comportement qui porterait atteinte à la bonne réputation de la profession. Dans la proposition de ses services, il ne doit pas exagérer la qualité du service proposé, ni les qualifications possédées, ni même l’expérience acquise.

2.3.2. Les conflits d’intérêts De nombreux événements peuvent constituer une atteinte potentielle aux règles d’éthique imposées à l’auditeur. Il en est notamment ainsi de la dépendance financière, si un client représente une part très significative des honoraires du cabinet ; ou de la dépendance technologique, quand un auditeur audite un système qu’il a lui-même contribué précédemment à mettre en place ; ou de la dépendance affective, quand une personne proche de l’auditeur assume des fonctions de direction au sein de l’entreprise auditée. Avant d’accepter une mission, l’auditeur doit identifier les risques d’atteinte aux

règles éthiques. Il doit mettre en œuvre les procédures nécessaires pour réduire ces risques à un niveau acceptable. Cela peut consister à recourir à un expert pour des questions techniques pointues ou sur lesquelles l’auditeur a adopté une position personnelle forte. Cela peut aussi passer par la constitution de l’équipe d’audit en remplaçant les collaborateurs entretenant des relations familiales ou amicales directes avec des membres clés de l’entreprise auditée. Dans le cas où la nomination résulte d’un changement d’auditeur, le nouvel auditeur peut prendre contact avec l’ancien auditeur pour identifier les raisons du changement. Ce contact est contraint par les règles de confidentialité s’appliquant à l’ancien auditeur. L’auditeur pressenti doit également obtenir l’autorisation de son futur client pour s’entretenir avec les responsables du service comptable de l’entreprise. S’il s’agit de missions complémentaires à la mission principale, l’auditeur doit s’assurer qu’elles ne remettent pas en cause son indépendance et qu’elles sont conformes aux possibilités légales de cumul des missions. Les conflits d’intérêts peuvent émerger à l’occasion d’une acquisition ou d’une fusion ou quand deux clients de l’auditeur se retrouvent en concurrence directe sur un marché oligopolistique. De même, il peut exister des conflits d’intérêts quand deux clients se retrouvent en conflit sur l’interprétation et l’utilisation d’une transaction, d’un brevet, d’un actif ou d’un passif. Il est recommandé à l’auditeur d’indiquer à ses divers clients les risques potentiels de conflit d’intérêts, et de recourir à des équipes d’audit distinctes avec des procédures de confidentialité renforcées. Dans certains cas, l’auditeur doit refuser une mission ou en demander la cessation. S’il est demandé à un auditeur de fournir son opinion sur le traitement d’une transaction, ou sur l’application d’un principe comptable ou d’une démarche d’audit, l’auditeur doit être vigilant sur la nature des informations qui lui sont transmises. Afin d’éviter de générer des possibilités d’arbitrage entre des opinions diverses, l’auditeur doit avoir accès aux mêmes faits et aux mêmes données que l’auditeur ayant formulé l’opinion initiale. L’application des IFRS, qui nécessite un jugement renforcé de la part tant des préparateurs des états comptables que des auditeurs18, est génératrice de conflits d’interprétation, notamment sur les critères présidant à l’application de la juste valeur. L’auditeur appelé à titre d‘expert pour donner son opinion doit s’entourer de précautions dans la formulation de son avis. Il doit se référer autant que possible au consensus professionnel sur les questions disputées. Le contrat d’engagement de l’auditeur fait ressortir non seulement le volume des honoraires négociés, mais également la nature des services offerts. L’auditeur n’est pas

autorisé à brader et à dévaloriser les conditions d’exécution d’une mission d’audit pour en obtenir le contrat. Les honoraires contingents à la réalisation de certains travaux ou à la découverte de certaines anomalies sont définis entre l’auditeur et son client et ils ne doivent pas mettre en cause l’indépendance de l’auditeur. La publicité et les formes diverses de marketing sont encadrées par les législations nationales. Elles ne doivent pas induire de distorsion vis-à-vis de la réalité des prestations offertes par l’auditeur et par les cabinets d’audit concurrents. Les cadeaux, la fourniture de prestations, ou le remboursement des frais de déplacements ou de séminaires doivent être encadrés pour ne pas donner prise à une quelconque perte d’objectivité. La menace d’une révélation publique des avantages octroyés ne doit pas pouvoir affecter l’auditeur dans son respect des normes professionnelles. Un client ne peut pas confier de biens à la surveillance de son auditeur. Celui-ci n’est pas et ne peut pas être responsable de la conservation des actifs de son client. L’indépendance requiert tout à la fois une indépendance d’esprit, c’est-à-dire la capacité à exprimer un jugement sans se laisser influencer, et une indépendance dans l’apparence, c’est-à-dire que l’auditeur ne doit pas accepter de situations dans lesquelles son indépendance pourrait apparaître comme étant remise en cause. L’indépendance n’est cependant pas l’absence de pressions (économiques, financières ou affectives), dans la mesure où toute personne est nécessairement insérée dans un réseau relationnel et dans un environnement économique. L’indépendance réside dans la juste mesure de ces diverses pressions et dans leur caractère acceptable pour l’auditeur et pour l’exercice de son jugement. Certaines situations susceptibles de concourir à une perte d’indépendance sont clairement interdites. La fourniture de prestations annexes à la mission principale d’audit est très clairement encadrée dans la nature des prestations offertes, la date de leur réalisation, et la composition des équipes réalisant ces missions annexes.

2.3.3. Le code de déontologie des commissaires aux comptes Le code de déontologie de la profession de commissaire aux comptes a été adopté par décret le 16 novembre 2005 et modifié le 10 février 2010. Il fait partie intégrante des obligations des commissaires aux comptes et son application fait l’objet de contrôles (article 1er du décret). Il contient sept titres principaux (principes fondamentaux de comportement ; interdictions, situations à risque et mesures de sauvegarde ; acceptation, conduite et maintien de la mission du commissaire aux comptes ; exercice en réseau ; liens personnels, financiers et professionnels ; honoraires ; publicité). Les principes fondamentaux de comportement reprennent ceux de l’IASB : intégrité,

impartialité, indépendance (non seulement en réalité, mais aussi en apparence), conflit d’intérêt, compétence, confraternité, discrétion. L’article 10 prévoit ainsi qu’il est interdit au commissaire aux comptes de procéder à la fourniture de toute prestation de service, notamment de conseil en matière juridique, financière, fiscale ou relative aux modalités de financement . Pour les grands réseaux d’audit, la mise en œuvre d’une telle interdiction pose des problèmes vis-à-vis des grands groupes, notamment quand un membre du réseau est auditeur dans un pays et qu’un autre membre du réseau fournit des prestations de conseil dans un autre pays. Comme le souligne l’article 11 du décret, c’est en dernier lieu par l’identification du risque encouru (notamment par rapport à l’indépendance) que le commissaire aux comptes doit trancher sur des situations limites. Si une situation interdite ou risquée est identifiée, le commissaire aux comptes doit immédiatement agir en conséquence, éventuellement en demandant conseil au H3C. Avant d’accepter une mission, le commissaire aux comptes doit collecter de l’information sur la structure et sur les modalités de gouvernance de l’entreprise. Dans l’exercice de sa mission, il doit respecter les normes et s’assurer que son cabinet dispose des ressources pour mener à bien sa mission. La démission ne constitue pas, pour le commissaire aux comptes, un moyen pour s’affranchir de sa responsabilité notamment en cas de difficultés de l’entreprise (qu’il s’agisse d’un risque sur la continuité d’exploitation ou d’un risque de faits délictueux). Quand un commissaire aux comptes n’est pas renouvelé, son successeur doit entrer en contact avec lui pour s’assurer que ce non-renouvellement ne vise pas à contourner les obligations égales, et notamment le respect de l’indépendance du commissaire aux comptes. Le code de déontologie introduit une nuance entre une interdiction (quand c’est le même cabinet qui assure l’audit et la prestation de services) et une présomption d’atteinte à l’indépendance (quand les entités assurant l’audit et la prestation sont distinctes, mais membres du même réseau). Dans le second cas, l’auditeur doit clairement identifier les risques susceptibles de porter atteinte à son indépendance, mais il peut considérer que les prestations fournies par un autre cabinet membre du réseau ne sont pas de nature à affecter l’indépendance de son jugement (que ce soit dans les faits ou dans l’apparence). Le commissaire aux comptes, les membres de son équipe, et même les membres du bureau local ne peuvent pas avoir de liens familiaux avec des responsables de l’entreprise auditée. Il en est de même des liens financiers ou des liens professionnels antérieurs quand ceux-ci datent de moins de deux ans. Les honoraires doivent permettre au commissaire aux comptes d’exercer ses travaux de façon satisfaisante (le dumping est interdit), mais ils ne doivent pas non plus

constituer une entrave à son indépendance (si les honoraires perçus d’une entreprise représentent une part significative du chiffre d‘affaires, le commissaire aux comptes doit mettre en œuvre des procédures de protection). Le démarchage est interdit, mais la participation à des colloques ou à des séminaires est autorisée, de même que la publicité quand elle ne porte pas atteinte à l’image de la profession. 1. Berle A. et Means G. (1932), The Modern Corporation and Private Property, MacMillan, 1956. 2. IAS : International Accounting Standards (normes comptables internationales) ; IFRS : International Financial Reporting Standards (normes internationales de reporting financier). 3. L’évolution du concept de juste valeur traduit bien cette évolution vers davantage de standardisation. Alors que le concept initial faisait référence à l’existence d’un marché actif, la norme IFRS 13 publiée en 2011 a renforcé les modalités techniques de calcul basées sur des prix du marché en faisant abstraction des conditions d’existence de ces prix du marché. Les situations de monopole ou d’oligopole, les contraintes et l’absence de libre choix sont désormais des facteurs occultés par la normalisation comptable internationale, car ils obligeaient à une manifestation du jugement professionnel incompatible avec la standardisation du processus d’audit. 4. Committee of Sponsoring Organizations of the Treadway Commission. 5. De nombreux directeurs administratifs et financiers, auditeurs internes ou chefs comptables ont débuté leur carrière en cabinets d’audit. 6. Par exemple, Parmalat, entreprise italienne de l’agroalimentaire. 7. Sauf bien entendu les capitaux propres fictifs qui résultent eux-mêmes d’actifs fictifs. 8. International Standard on Auditing. 9. Norme d’Exercice Professionnel. 10. L’argent est un concept abstrait et il ne devient concret que rapporté à un environnement donné où il s’exprime en termes de pouvoir d’achat. 1 000 € en Europe et en Afrique ont la même valeur faciale mais ils ne représentent pas le même pouvoir concret (un pouvoir d’agir sur les choses et sur les personnes) dans ces deux régions. 11. Cela ne signifie pas qu’ils prendraient nécessairement la même décision, mais cela signifie qu’ils auraient accès au processus de jugement qui a conduit le dirigeant à sélectionner telle ou telle solution en fonction des informations à sa disposition. 12. Jensen M.C. et Meckling W.H. (1976), « Theory of the firm: managerial behavior, agency costs and ownership structure », Journal of Financial Economics, 3, 305-360. 13. DeAngelo L.E. (1981a), « Auditor size and audit quality », Journal of Accounting and Economics, 3, 183-199, citation p. 186. 14. Par exemple, pour l’audit des systèmes d’information de l’entreprise cliente, il est nécessaire de disposer d’une formation sur les logiciels et les bases de données utilisés par l’entreprise. 15. Chapitre 4 de : Pigé B. (2008), Gouvernance, contrôle et audit des organisations, Economica. 16. https://pcaobus.org/ 17. Le H3C a un budget qui s’élève à 4 % de ce budget (l’ordre de grandeur est resté le même entre 2009 et 2016), même si les chiffres ne sont pas directement comparables, dans la mesure où le H3C s’appuie sur la Compagnie nationale des commissaires aux comptes pour réaliser ses contrôles. 18. Pigé B. et Paper X. (2009), Normes comptables internationales et gouvernance des entreprises : le sens des normes IFRS, 2e édition, EMS.

Chapitre 4. La mise en œuvre de l’audit comptable et financier En France, l’audit des états comptables et financiers prend le plus souvent l’aspect légal du commissariat aux comptes. La loi a institué un contrôle légal de caractère permanent par un ou plusieurs commissaires aux comptes afin de vérifier la régularité, la sincérité et l’image fidèle des comptes. Ce contrôle concerne les sociétés commerciales, soit en raison de leur forme juridique, soit en raison de leur taille ou de leur activité. Les autres formes d’organisation sont également soumises à ce contrôle si elles dépassent certains seuils. Il en est notamment ainsi des coopératives agricoles, des mutuelles, des groupements sportifs, des personnes morales de droit privé noncommerçantes, des établissements ou des entreprises publics et des organismes de formation. Pour les établissements relevant de la tutelle de l’État, le premier contrôle incombe au gouvernement, aidé éventuellement par la Cour des comptes. La nomination de commissaires aux comptes se justifie moins puisque la garantie des créanciers est assurée par l’État. De plus, le résultat dégagé n’a pas forcément une signification en termes de performance, car il dépend des contraintes réglementaires qui ont été fixées. Le rôle du commissaire aux comptes se limite alors à la détection des anomalies de présentation (erreurs ou fraudes) et au contrôle du respect des normes spécifiques au secteur d’activité ou à la structure juridique1. Pour les collectivités locales, le contrôle est assuré à un premier échelon par les percepteurs (pour les petites municipalités) puis par la Cour des comptes (pour les collectivités locales importantes). Le principal contrôle découle de la centralisation de la trésorerie de ces collectivités locales auprès du Trésor public. Mais, contrairement aux entreprises qui, si elles sont peu performantes, finissent par disparaître faute de consommateurs, les collectivités locales ont des temps de réaction beaucoup plus longs et principalement liés aux rendez-vous électoraux. Le contrôle des finances des collectivités locales par des commissaires aux comptes est encore peu répandu, bien qu’il s’agisse pour ces derniers d’un champ de développement privilégié. Les associations constituent la dernière catégorie d’organisations contribuant à la vie économique et sociale. Elles sont peu contrôlées, en raison du coût que cela représenterait pour de multiples petites associations alors qu’elles remplissent un rôle irremplaçable d’animation de la vie locale. Les problèmes survenus, et révélés fin 1995, au sein de l’association pour la recherche contre le cancer (ARC) montrent que,

pour des associations importantes effectuant des transactions nombreuses, le problème du contrôle est primordial. Cependant, le rôle des commissaires aux comptes ne peut pas se limiter à contrôler la présentation des états financiers. Les commissaires aux comptes doivent s’assurer que les opérations réalisées correspondent à l’objet social de l’association et qu’elles ont été régulièrement autorisées. Comme pour les grandes entreprises privées, l’examen et le test des procédures de contrôle interne est primordial. Les commissaires aux comptes sont normalement désignés par l’assemblée générale ordinaire (sauf en cas de constitution de la société). Cette nomination doit être rendue publique par publication dans un journal d’annonces légales. Les commissaires aux comptes sont nommés pour six exercices. Seules les personnes morales ou physiques inscrites sur une liste, dressée par les différentes cours d’appel, peuvent exercer les fonctions de commissaire aux comptes. Les sociétés de commissaires aux comptes doivent être détenues à 75 % par des commissaires aux comptes. Pour être commissaire aux comptes, il faut répondre à des conditions de moralité et d’aptitude professionnelle (en France, l’aptitude professionnelle est sanctionnée par un diplôme de niveau équivalent à celui d’expert-comptable). Les règles d’incompatibilité sont très strictes et interdisent toute relation de parenté entre les commissaires aux comptes et un certain nombre de personnes impliquées dans la vie de la société.

1. La démarche d’audit comptable et financier La démarche d’audit comprend trois principales étapes. La première concerne la prise de connaissance de l’entreprise, de son environnement et de ses spécificités. La seconde étape est l’identification et l’évaluation des procédures de contrôle interne pour déterminer s’il est possible de s’appuyer sur certaines d’entre elles. La dernière étape est la validation directe des états financiers. Cette validation peut être plus ou moins allégée selon la fiabilité des procédures de contrôle interne.

1.1. La prise de connaissance de l’entreprise La connaissance de l’entreprise comprend la compréhension de l’environnement dans lequel elle se situe ainsi que l’identification de ses spécificités. Cette connaissance a pour fonction de déceler les risques principaux auxquels est soumise l’entreprise.

1.1.1. L’acceptation de la mission L’audit des comptes est un contrat de prestation de services (ISA/NEP 2 210) qui obéit à des règles très strictes en raison de son impact sur la confiance des acteurs économiques dans les états comptables et financiers présentés.

En France, la loi réglemente en grande partie les conditions d’engagement de l’auditeur. Dans d’autres pays, de tradition plus contractuelle, c’est le contrat entre l’entreprise et son auditeur qui déterminera les conditions exactes de la prestation. Néanmoins, pour des opérations d’acquisition ou de restructuration, une entreprise peut également missionner un auditeur en lui demandant des engagements purement contractuels. L’auditeur est alors un prestataire de service comme un autre, même s’il reste soumis aux normes de comportement et de travail propres aux auditeurs. La lettre d’engagement doit contenir : l’objet de l’audit, le rappel de la responsabilité des dirigeants dans l’établissement des états financiers, l’étendue de l’audit (en particulier quand il est demandé un audit approfondi de certaines transactions), la nature des rapports à remettre, le rappel de la nature intrinsèquement limitée de tout audit, l’accès sans limites à tous les documents et enregistrements de l‘entreprise en lien avec l’audit, le rappel de la responsabilité des dirigeants dans la conception et la mise en œuvre du système de contrôle interne. Quand un auditeur intervient au sein d’un groupe, il doit également faire préciser qui nomme l’auditeur de chacune des sociétés, qui assure la supervision ou la coordination du travail des auditeurs si ceux-ci sont issus de cabinets distincts, quel est le degré de détention du capital des filiales et quel est le niveau d’indépendance des dirigeants de filiales. Les mêmes questions peuvent se poser au sujet des organes de gouvernance : l’auditeur doit-il en référer au comité d’audit de la société mère, ou doit-il se limiter au conseil d’administration de la filiale. À chaque nouvelle période, l’auditeur doit apprécier s’il convient de modifier les termes de son engagement. Si son client lui demande d’abaisser le niveau de la prestation fournie en réduisant le degré de confiance accordé à la certification, l’auditeur doit éventuellement envisager son refus de renouveler la prestation d’audit. Quand un auditeur obtient une nouvelle mission, il doit s’assurer (ISA 510) : • que les balances d’ouverture ne contiennent pas d’erreurs qui viendraient affecter la qualité des états financiers audités ; • que les soldes de la balance de clôture de l’exercice précédent ont été correctement reportés dans la balance d’ouverture ; • que la permanence des méthodes et principes comptables est respectée ou qu’à défaut les modifications sont clairement présentées et communiquées. L’auditeur doit identifier les personnes de l’entreprise assurant la responsabilité opérationnelle de l’établissement des états financiers, mais il doit également communiquer avec les organes de surveillance et de contrôle, notamment le comité d’audit ou le conseil d’administration.

1.1.2. Connaissance de l’environnement L’environnement de l’entreprise est conditionné par le secteur d’activité et par la situation économique tant générale que sectorielle ou géographique. Selon les secteurs d’activité, les besoins informationnels de l’entreprise ne sont pas les mêmes. Les procédures de traitement de l’information diffèrent et les contrôles à effectuer n’ont pas la même importance. Par exemple, dans le secteur de la distribution, trois facteurs sont fondamentaux : les ventes de marchandises, les achats de marchandises et les stocks. Les procédures de contrôle interne doivent être renforcées pour s’assurer que toutes les marchandises achetées finissent par être vendues. Dans le secteur du raffinage, le facteur clé est la transformation d’une ou plusieurs matières premières en plusieurs produits finis. Le contrôle interne sera particulièrement important au niveau du contrôle des flux de matières pour s’assurer que toutes les matières qui entrent dans la production sont transformées et sortent sous forme de produits finis ou, éventuellement, sous forme de déchets. Dans le secteur du bâtiment travaux publics (BTP), le risque principal porte sur l’évaluation des travaux en cours et sur les litiges avec les clients. La situation économique conditionne fréquemment la santé financière d’une entreprise. Pour l’appréhender, il est nécessaire de tenir compte du secteur d’activité, de la concurrence, des débouchés et des approvisionnements. Le secteur de la construction automobile est sensible à la conjoncture générale (les particuliers achètent moins de voitures en période de récession), au renouvellement des gammes des constructeurs concurrents, aux incitations fiscales à l’achat d’une voiture, au prix du carburant. Le risque principal d’une entreprise est la cessation de paiement. Ce risque augmente quand l’environnement économique se dégrade. L’entreprise peut chercher à rendre moins visibles comptablement les conséquences de cette dégradation.

1.1.3. Connaissance des spécificités de l’entreprise Les spécificités de l’entreprise sont liées à sa structure organisationnelle, à sa politique stratégique, à sa position concurrentielle et à son actionnariat. Selon l’organisation de l’entreprise, les flux d’information et les procédures ne sont pas les mêmes. Les entreprises très hiérarchisées ont souvent des procédures très formelles et une des bases de leur contrôle interne est l’approbation hiérarchique. L’auditeur devra s’assurer que les décisions critiques font l’objet d’une approbation hiérarchique systématique. Dans les entreprises très décentralisées, le contrôle se fait souvent a posteriori sur la base d’un reporting ou d’un contrôle budgétaire. L’auditeur devra s’assurer qu’il existe des procédures de contrôle interne applicables et appliquées pour le déroulement des

transactions. Une entreprise en forte croissance ne présente pas les mêmes risques qu’une entreprise en déclin. Dans le premier cas, l’auditeur devra être attentif aux ratios de liquidité de l’entreprise pour s’assurer qu’elle ne risque pas d’être en cessation de paiement en raison d’une trop forte croissance accompagnée d’un financement insuffisant. De plus, les entreprises en forte croissance connaissent souvent un décalage entre leur organisation et leurs besoins organisationnels. L’organisation croît très vite sans avoir le temps ni d’établir les procédures nécessaires ni de prévoir les contrôles adaptés. Dans une entreprise en déclin, les procédures sont souvent bien définies, mais elles ne sont plus forcément appliquées. Le contrôle est devenu routinier et n’a pas forcément pris en compte les nouveaux risques auxquels est confrontée la société. La position concurrentielle d’une entreprise conditionne sa viabilité et son développement. Une entreprise vivant sur un marché protégé, qui du jour au lendemain se retrouve confrontée à une forte concurrence, peut disparaître en moins d’une année. Au niveau comptable et financier, l’analyse des provisions pour restructuration ne peut pas se faire indépendamment de la mesure de la pression concurrentielle. Le besoin de restructuration est souvent lié à une évolution technologique, mais il est rendu nécessaire par la concurrence. Dans les sociétés anonymes, le risque de l’actionnaire est limité à son apport. Cependant, dans les grands groupes, cette règle souffre des exceptions en raison des flux de biens et services qui unissent les filiales d’un groupe, sans compter les garanties que la société mère accorde à ses filiales. L’auditeur prend en compte les garanties que l’appartenance à un groupe donne à une entreprise. L’actionnariat peut également créer des risques particuliers, quand l’actionnaire majoritaire fait réaliser à sa filiale des opérations qui ne sont pas profitables aux actionnaires minoritaires ou que la maison mère siphonne la trésorerie et les résultats de sa filiale en fixant des prix de cession intra-groupe défavorables à celle-ci. Les risques particuliers peuvent être liés à la structure financière de l’entreprise (des besoins de financement qui augmentent), mais ils peuvent également provenir de conflits sociaux qui remettent en cause la poursuite des processus de production ou de distribution. Enfin, des changements organisationnels peuvent impacter une entreprise apparemment sans risque. Une modification du système de traitement de l’information a un impact sur les processus de production et sur la collecte et la mise en forme de l’information. Les risques sont liés aux conditions de mise en œuvre des nouveaux systèmes d’information (les logiciels ont-ils été suffisamment testés, répondent-ils aux

besoins ?) et aux ressources déployées pour former le personnel ou adapter les autres processus aux besoins du système d’information. Les changements organisationnels peuvent aussi concerner la répartition des tâches, notamment en cas de restructuration liée à une acquisition, une fusion, ou une scission.

1.1.4. La planification de l'audit (ISA/NEP 300) L’auditeur doit assurer la planification de la mission d’audit. C’est-à-dire qu’il doit établir une stratégie globale d’audit pour réduire le risque d’audit à un niveau acceptable. Il doit fixer les dates d’intervention et de remise des rapports et prévoir les ressources (principalement en termes de collaborateurs) nécessaires. Il doit décrire le mode d’évaluation des risques d’audit et les arbitrages entre l’audit du contrôle interne et l’audit direct des états financiers. La rigueur dans le déroulement de la mission d’audit constitue une des caractéristiques de la qualité du processus d’audit. Cela n’interdit pas d’adapter la stratégie d’audit initialement planifiée quand des éléments nouveaux apparaissent qui le justifient (par exemple, la découverte d’un cas de fraude, ou la mise en évidence d’une procédure de contrôle interne défectueuse, etc.), mais cela signifie que tous les risques d’audit identifiés au préalable feront l’objet d’une analyse adéquate. Le mode de supervision et de revue des dossiers doit être prévu avec l’identification des compétences nécessaires. L’étendue des travaux d’audit peut notamment dépendre : • des exigences sectorielles spécifiques ; • de la localisation des établissements de l’entreprise ; • de l’existence d’autres auditeurs pour la société mère (co-commissariat aux comptes) ou pour des filiales ; • de la présence d’un service d’audit interne ; • des connaissances technologiques ou techniques éventuellement nécessaires pour appréhender la traduction comptable de certains processus ou activités (par exemple, des dépenses de recherche et développement, des opérations d’inventaire, ou des valorisations d’instruments financiers) ; • de la disponibilité du personnel de l’entreprise et des conditions d’accès aux données informatiques ; • des réunions prévues avec les dirigeants de l’entreprise ; • du volume des transactions ; • des modifications légales, réglementaires, technologiques, ou économiques, de l’environnement de l’entreprise ; • des résultats des audits antérieurs.

1.2. L’évaluation du contrôle interne En matière de contrôle interne, l’objectif de l’auditeur est : • de comprendre le système d’information et de contrôle interne du client ; • d’évaluer ce système en vue de déterminer s’il peut s’appuyer sur lui pour exprimer une opinion sur la conformité du produit (les états comptables et financiers) ; • de mener un programme de tests pour s’assurer du bon fonctionnement du système et de ses contrôles.

1.2.1. L’identification des risques liés à l’entité et à son environnement (ISA/NEP 315) L’auditeur doit obtenir une compréhension de l’entreprise et de son environnement, y compris ses procédures de contrôle interne, et il doit évaluer les risques de présentation d’états financiers erronés (ne fournissant pas une image fidèle de l’entreprise et des phénomènes économiques sous-jacents). Les procédures d’évaluation du risque comprennent : des enquêtes auprès des dirigeants et des autres employés de l’entreprise, des revues analytiques (pour identifier les évolutions significatives ou anormales), des observations et inspections, des visites d’usines ou de sites (par exemple, la visite d’une salle de marché pour observer la séparation des fonctions de trading et de contrôle). L’auditeur doit comprendre et évaluer le système de contrôle interne de l’entreprise. Son objectif n’est pas de s’assurer de la conformité de la globalité du système de contrôle interne, mais d’identifier les points de faiblesse ou de défaillance qui pourraient avoir une incidence sur la qualité de l’enregistrement et de la présentation des transactions comptables. L’évaluation du système de contrôle interne peut aussi reposer sur des travaux effectués par des employés de l’entreprise (l’auditeur ne peut pas nécessairement tester certaines procédures de contrôle interne pour des raisons techniques, technologiques, ou parfois d’autorisation d’accès). L’examen des procédures informatisées de traitement de l’information et de contrôle interne nécessite de différencier les contrôles manuels des contrôles automatiques. Les risques sont différents et doivent faire l’objet de procédures d‘audit adaptées (par exemple, le recours à des logiciels d’aide à l’audit pour tester certaines applications ou effectuer des rapprochements automatisés de données). L’auditeur doit identifier les risques d’audit qui ne pourront pas être couverts par le système de contrôle interne. Dans le cas d’Enron, la quasi-totalité des transactions était couverte par des procédures de contrôle interne qui figuraient sans doute parmi les meilleures au monde. Pour intervenir sur les marchés de trading (d’échange) des

contrats d’énergie, la direction d’Enron avait mis en place des procédures de contrôle draconiennes et tout manquement aux procédures était immédiatement sanctionné. Dans le cas de la Société Générale, les procédures de gestion des risques étaient parmi les meilleures au monde. Et pourtant, dans ces deux entreprises qui excellaient dans leur domaine, des fraudes se sont produites. Ces fraudes se sont produites en dehors du domaine des contrôles, sur la petite frange des opérations peu scrutées : les contrats d’arbitrage dans le cas de la Société Générale, puisque ces activités étaient considérées sans risques ; les opérations manuelles de déconsolidation dans le cas d’Enron. Les conséquences sur l’entreprise n’ont pas été les mêmes en raison du niveau de réalisation de la fraude. Chez Enron, la fraude émanait du sommet ; à la Société Générale, elle émanait d’un courtier isolé.

1.2.2. Description des procédures du contrôle interne L’auditeur doit observer les procédures et en comprendre le fonctionnement à l’aide d’entretiens avec le personnel de l’entreprise, puis il doit formaliser cette compréhension pour en permettre l’utilisation dans le cadre de l’évaluation des forces et des faiblesses du contrôle interne. Les procédures de contrôle interne diffèrent selon le secteur d’activité de l’entreprise et selon sa structure organisationnelle. L’auditeur doit observer les procédures en place, leur mode de fonctionnement, les liens qui existent entre elles, leur formalisation. Pour son observation, il s’appuie également sur les entretiens avec les employés de l’entreprise qui lui décrivent les tâches et les contrôles qu’ils effectuent et qui lui expliquent le rôle des procédures spécifiques. À partir de ses observations et des entretiens, l’auditeur formalise sa perception du traitement des transactions et des procédures de contrôle mises en place. Cette formalisation peut se faire sous forme narrative, mais il est préférable de l’accompagner d’organigrammes, c’est-à-dire de schémas retraçant les différents flux de transaction et les contrôles effectués. Pour des transactions complexes, les organigrammes présentent les avantages suivants : • ils facilitent la compréhension et la communication ; • leur mode de préparation requiert une discipline qui oblige l’auditeur à vérifier sa bonne compréhension du système ; • leur présentation souligne les manques de compréhension du système ou les faiblesses du système lui-même. Les organigrammes permettent à l’auditeur d’identifier les procédures de contrôle adaptées. Pour l’audit des états comptables et financiers, l’auditeur doit privilégier la

description des systèmes transactionnels liés aux enregistrements comptables. Il doit

également respecter les règles suivantes : • mentionner toutes les procédures séquentiellement, c’est-à-dire au fur et à mesure de leur déroulement ; • indiquer toutes les copies de document et leurs utilisations si elles offrent un intérêt ; • mentionner les procédures de maintenance de fichiers ou d’édition de rapports ; • montrer les flux d’information entre les différents services de l’entreprise ; • indiquer le titre, la position, et si possible le nom de la personne effectuant la procédure. Une fois ce travail effectué, l’auditeur doit confronter sa vision du système de traitement des transactions avec la réalité de l’entreprise. L’auditeur doit réitérer ses observations et vérifier auprès des employés qu’il a pris en compte toutes les transactions significatives et qu’il les a correctement décrites.

1.2.3. Vérification de l’adéquation des procédures aux objectifs à atteindre Une procédure de contrôle interne n’a de sens que si elle contribue à couvrir un objectif de contrôle. Pour déterminer les objectifs de contrôle interne applicables à l’entreprise, l’auditeur peut distinguer entre ceux qui sont vitaux, car ils conditionnent le fonctionnement de l’entreprise, et ceux qui sont secondaires, car ils n’ont pour objet que de détecter ou d’éviter des erreurs non primordiales. L’auditeur peut s’appuyer sur sa connaissance d’entreprises similaires, en particulier de celles opérant dans le même secteur d’activité ou ayant adopté la même structure organisationnelle. Les objectifs de contrôle peuvent être atteints par différents moyens et grâce à différentes procédures. Pour chaque objectif, l’auditeur récapitule les différentes procédures qui y sont liées et il doit estimer si, globalement, l’objectif de contrôle est ou non atteint. Une fois les procédures de contrôle interne décrites, l’auditeur doit s’assurer que ces procédures permettent d’atteindre les objectifs de contrôle. L’utilisation de questionnaires de contrôle interne facilite l’identification des forces et des faiblesses du contrôle interne. Il s’agit de questionnaires qui recensent, pour chaque objectif de contrôle interne, les questions relatives aux différents moyens d’atteindre l’objectif. Chaque question porte sur l’existence d’une procédure de contrôle et la réponse apportée peut être « OUI / NON / NA (non applicable) ». Dans le premier cas (réponse OUI), il s’agit d’une force pour l’entreprise, car il existe une procédure de contrôle interne permettant d’atteindre l’objectif de contrôle identifié précédemment. Dans le second cas (réponse NON), il s’agit d’une faiblesse pour l’entreprise. Cependant, cette faiblesse peut être compensée par l’existence d’une

procédure supplétive. Dans le troisième cas (réponse NA), la procédure n’a pas de raison de s’appliquer à l’entreprise, car son secteur d’activité ou sa structure organisationnelle ne s’y prêtent pas. Afin d’éviter l’accumulation de réponses « NA », il est nécessaire de prévoir différents types de questionnaires de contrôle interne selon le secteur d’activité ou la taille de l’entreprise. Une fois rempli le questionnaire de contrôle interne, l’auditeur peut apprécier si les procédures de contrôle interne permettent d’atteindre chacun des objectifs de contrôle interne. Si un objectif ne peut pas être atteint, en raison de l’absence de procédures adaptées, cela signifie pour l’auditeur que le risque d’erreur ou de fraude est beaucoup plus élevé et qu’il sera nécessaire d’effectuer des contrôles approfondis sur les transactions. À l’inverse, si les procédures de contrôle permettent d’atteindre un objectif de contrôle interne, l’auditeur doit vérifier que les procédures sont réellement et correctement appliquées.

1.2.4. Tests de l’application et de l’efficacité des procédures L’auditeur doit s’assurer que les forces relevées dans l’analyse du système de contrôle interne sont permanentes et que les contrôles prévus sont effectivement et correctement appliqués.

Encadré 4.1 Extrait d’un questionnaire de contrôle interne sur le cycle achats/fournisseurs OBJECTIF : Les sommes dues aux fournisseurs et les régularisations s’y attachant doivent être rattachées à l’exercice comptable approprié. N° Libellé a

Tous les achats significatifs sont-ils comptabilisés par l’intermédiaire de comptes fournisseurs et non directement au journal de banque ?

b

Existe-t-il un système d’inventaire permanent en quantité et en valeur, mouvementé en entrée à partir des bons de réception valorisés ?

c

Sinon, existe-t-il une procédure permettant à tout moment d’identifier aisément les marchandises reçues et non facturées ?

OUI N/A NON

d Les bons de réception sont-ils prénumérotés ? e

Les bons de retours de marchandises sont-ils prénumérotés ?

f

Les demandes de régularisation sont-elles systématiquement rapprochées des bons de réception avant d’être comptabilisées ?

L’auditeur va réaliser des tests de conformité sur l’application des procédures de contrôle interne constituant une force pour l’entreprise. Ces tests de conformité vont vérifier la permanence des procédures. Les tests sont réalisés sur les différentes périodes de l’année sans être particulièrement concentrés sur la période de clôture. Le contrôle interne comptable et financier doit être pratiqué tout au long de l’année et non seulement à la date d’arrêté des comptes. Les tests de conformité comprennent l’examen de l’application des contrôles et la simulation de tout ou partie de la tâche effectuée par les employés de l’entreprise cliente. L’examen de l’application des contrôles nécessite la matérialisation de ces contrôles. Elle porte sur la présence de visas, d’états de rapprochement... Le niveau du test de conformité est conditionné par la fréquence de réalisation du contrôle. Il dépend également des éléments suivants : • le risque qu’une erreur ne soit pas détectée. Ce risque est moindre s’il existe un second contrôle portant sur la réalisation du premier contrôle ; • le degré selon lequel d’autres tests d’audit garantissent l’application correcte du contrôle ;

• la fréquence de non-application du contrôle et l’impact des erreurs éventuelles. Selon le degré d’avancement auquel se produit une erreur, l’impact sur le produit en sera plus ou moins important. Une erreur se produisant au départ a plus de chance d’être détectée. Les tests de conformité permettent de valider ou d’infirmer les forces relevées dans la description des procédures de contrôle interne. L’auditeur pourra s’appuyer sur les procédures concourant à l’obtention d’un objectif de contrôle quand les tests de conformité auront révélé que ces procédures sont correctement et régulièrement appliquées. À l’inverse, si les tests de conformité sont défavorables, l’auditeur ne pourra pas s’appuyer sur les procédures de contrôle interne et il devra exercer un contrôle approfondi des éléments comptables.

1.3. Les tests de validation La validation des éléments constitutifs des états financiers est plus ou moins étendue selon le degré de confiance que l’on peut placer dans les procédures de contrôle interne à l’issue des tests de conformité. Dans le cas de l’audit des états comptables et financiers, les caractéristiques à prendre en compte sont la réalité et l’exhaustivité des transactions, la juste valorisation des transactions et des éléments de l’actif et du passif, la prise en compte de toutes les informations susceptibles d’affecter la représentation des phénomènes économiques sous-jacents.

1.3.1. Tests approfondis de certains éléments en cas de défaillance des procédures de contrôle interne L’expression anglaise pour nommer ces tests est « substantive tests », que l’on pourrait traduire par l’expression « tests substantifiques », ou « tests de validation », c’est-à-dire des tests qui portent sur la valeur profonde, sur la substance du produit. L’objectif de l’auditeur est de limiter autant que possible les tests de validation, c’està-dire les tests portant sur la substance du produit, du service ou de l’information auditée. En cas d’absence de supervision ou de faible séparation des tâches, l’auditeur doit accroître l’examen des contrôles de base pour s’assurer qu’ils ont quand même rempli leur rôle.

Graphique 4.1 Description synthétique de la démarche de l’auditeur

Si les résultats des tests de conformité révèlent une défaillance dans la supervision, la séparation des tâches ou les contrôles de base au cours d’une période de l’exercice, l’auditeur ne pourra pas s’appuyer sur le contrôle interne et il devra réaliser des tests de validation étendus. Il en est de même si une défaillance significative du contrôle interne se produit à un instant donné ; tous les tests de validation antérieurs devront être réeffectués. Une solution alternative consiste à tester la validation des procédures sur la période correspondant à la défaillance du contrôle interne. Pour déterminer l’ampleur des tests à réaliser l’auditeur doit tenir compte de : • la manière dont les tests de conformité affectent les tests de validation qui auraient de toute manière été réalisés ; • le risque de redondance entre les tests de conformité sur des procédures fonctionnant correctement et les tests de validation sur le produit ; • l’efficacité de l’utilisation des tests de validation de procédures pour suppléer à la défaillance du contrôle interne. Si l’auditeur ne s’appuie pas sur les procédures de contrôle interne, il peut néanmoins

les utiliser pour orienter ses travaux et définir les tests de validation à réaliser.

L’auditeur peut décider de limiter la validation approfondie à certains éléments des états financiers s’il estime qu’un niveau de confiance suffisant peut être placé dans les procédures de contrôle interne de l’entreprise.

1.3.2. Tests de validation des caractéristiques du produit La validation des caractéristiques d’un produit peut être exhaustive ou utiliser des méthodes d’échantillonnage (ISA/NEP 530). Les tests de validation sont par nature lourds, car ils nécessitent l’analyse de la composition du produit ou du compte (pour l’audit des états comptables et financiers). Quand les transactions sont très nombreuses, il n’est pas possible d’effectuer un contrôle unitaire. Les lois statistiques peuvent être utilisées pour déterminer la taille de l’échantillon à tester en fonction du degré de confiance requis, et pour extrapoler les résultats de l’analyse portant sur l’échantillon à l’ensemble de la population. La loi normale constitue le plus souvent la référence en raison de la loi des grands nombres qui tend à normaliser les distributions. Pour une catégorie d’éléments comptables, l’auditeur a habituellement le choix entre trois modes d’audit : • la sélection de tous les éléments (100 %). L’utilisation de logiciels d’audit permet parfois d‘effectuer des tests sur la totalité de la population considérée. Par exemple, en effectuant un rapprochement informatique entre les commandes reçues et les facturations effectuées, les tests d’audit peuvent faire ressortir tous les enregistrements pour lesquels il y a eu une facturation sans qu’il n’y ait eu une prise de commande ; • la sélection de certains éléments (généralement les plus significatifs, soit en raison de leur valeur, soit en raison de leur nature : les transactions anormales ou exceptionnelles). L’auditeur doit motiver sa sélection et expliquer les objectifs d’audit poursuivis. L’inconvénient principal de cette approche est de rendre plus difficile l’extrapolation à l’ensemble de la population ; • l’échantillonnage : il consiste à tester une fraction de la population auditée et à tirer des anomalies relevées une généralisation à l’ensemble de la population. Quand l’auditeur décide d’effectuer un échantillonnage, il doit arbitrer entre une approche purement statistique (avec sélection aléatoire des éléments audités) et une approche plus manuelle privilégiant certaines caractéristiques de l’échantillon étudié (la valeur, l‘ancienneté, le secteur d‘activité, etc.). La sélection aléatoire permet d’extrapoler les résultats de l’échantillon à la population en utilisant les lois statistiques. Néanmoins, l’auditeur doit être particulièrement vigilant sur les points suivants : • la population : il doit s’assurer que la population étudiée recouvre bien la totalité

•

• • •

des enregistrements qu’il souhaite auditer. Le risque est de n’auditer que la population présentant un risque faible et d’oublier la sous-population très risquée qui, pour des raisons particulières, ne figure pas dans le même fichier. Ainsi, si la constatation d’une provision pour créance douteuse entraîne une modification de l’enregistrement de la créance client, l’auditeur doit s’assurer, quand il étudiera la population comprenant l’ensemble des créances clients, que ces dernières incluent bien toutes les créances douteuses. À défaut, il devra effectuer des tests distincts sur cette population spécifique ; la stratification : l’auditeur peut améliorer l’efficience de ses travaux d’audit en stratifiant la population pour accroître la proportion d’éléments étudiés dans les zones à risque et réduire cette proportion pour les éléments considérés comme peu risqués ; la pondération : pour accroître l’impact de ses travaux d’audit, l’auditeur peut privilégier les transactions les plus élevées en valeur ; la taille de l’échantillon : elle dépendra du degré de confiance que l’auditeur souhaite obtenir et de son utilisation éventuelle d’une loi statistique ; le mode de sélection : l’auditeur ne doit pas a priori exclure certaines transactions de son processus d’échantillonnage sous prétexte qu’elles sont peu significatives. Par contre, il peut, par le biais des pondérations, réduire la probabilité qu’elles soient sélectionnées.

Dans l’analyse de ses résultats, l’auditeur doit effectuer une recherche individuelle des causes des anomalies ou erreurs relevées. C’est cette analyse qui lui permettra éventuellement une extrapolation à l’ensemble de la population, voire une extension de ses travaux d’audit à d’autres populations présentant des caractéristiques similaires. Pour des transactions réduites, ou quand un petit nombre de transactions représente une fraction significative de la valeur totale des transactions, il est nécessaire de réaliser une validation intégrale des transactions. Il en est de même quand les caractéristiques du compte audité sont tellement importantes qu’aucune erreur n’est admissible. Ainsi, dans les sociétés anonymes, les entreprises n’ont pas le droit de consentir à leurs administrateurs, personnes physiques, des comptes courants débiteurs. Ceci se justifie par la nécessité de conserver les capitaux propres, et en particulier le capital social, comme garantie ultime des créanciers en cas de cessation de paiement de l’entreprise.

1.3.3. Le critère de significativité L’identification d’un risque lié à l’environnement de l’entreprise ou à une faiblesse des procédures de contrôle interne ne signifie pas nécessairement qu’il existe un risque

d’audit sur l’image fidèle des états financiers. Une information est significative (matérielle) si son omission ou sa présentation erronée est susceptible d’affecter les décisions économiques des utilisateurs des états financiers (ISA/NEP 320). L’aspect significatif dépend de la taille de l’enregistrement ou de l’erreur, compte tenu des circonstances spécifiques de son omission ou de sa présentation erronée. Par conséquent, la significativité (matérialité) doit être appréciée comme un seuil plutôt que comme une caractéristique qualitative de l’information. Elle relève du jugement de l’auditeur. Dans l’examen de transactions similaires, ou si des erreurs individuelles aboutissent à une erreur globale plus importante, l’auditeur doit tenir compte de l’agrégation de toutes les erreurs ou omissions pour appréhender la matérialité qui ne serait pas nécessairement atteinte par une erreur isolée. Si la direction générale refuse de prendre en compte les demandes d’ajustement de l’auditeur, et si les travaux d’audit ne permettent pas d’évaluer avec exactitude l’incidence exacte des erreurs ou omissions sur la qualité des états financiers et leur représentation de l’image fidèle de l’entreprise, l’auditeur doit envisager l’émission d‘une réserve lors de la certification des comptes. Bien évidemment, si l’auditeur estime que les états financiers sont significativement affectés par les erreurs et omissions relevées et que, par conséquent, ils ne fournissent pas une image fidèle de l’entreprise, il doit refuser de certifier les comptes. Les travaux d’audit doivent être adaptés : à l’aspect significatif du risque, à la probabilité d’occurrence d’une erreur matérielle (significative), à la nature des transactions impliquées, au caractère manuel ou automatique des contrôles concernés (la défaillance d’un contrôle automatique a potentiellement une incidence sur un plus grand nombre de transactions que la défaillance d’un contrôle manuel), à la possibilité d’obtenir des preuves d‘audit sur les erreurs éventuelles (ISA/NEP 330). Si l’auditeur estime que les procédures de contrôle interne sont adaptées aux transactions, il doit effectuer des tests de contrôle pour obtenir suffisamment de preuves d’audit que les procédures de contrôle internes ont bien été effectives sur la période concernée par l’audit des états financiers. L’auditeur doit donc effectuer des choix à la fois sur la nature des tests qu’il souhaite réaliser (par exemple, assurer le suivi de transactions depuis leur origine jusqu’à leur dénouement et confronter le résultat aux enregistrements déjà effectués), sur l’étendue de ces tests (contrôler 10 transactions ou en contrôler 50) et sur la période de réalisation des tests (des tests répartis sur toute l’année, concentrés en milieu d’année ou à la date d’ouverture et de clôture des exercices, etc.). Pour toutes les transactions significatives au niveau des états financiers et pour les

transactions ne pouvant pas faire l’objet de tests de contrôle, l’auditeur doit effectuer des tests sur la substance des enregistrements (leur réalité, leur valorisation). L’auditeur doit également s’assurer de la qualité de présentation des états financiers eux-mêmes (et pas seulement de leur contenu). Une entreprise peut recourir à des prestataires externes pour certaines activités nécessaires à son exploitation (ISA 402). Les exemples les plus courants sont l’externalisation de la fonction informatique (une société de services informatiques met à disposition de l’entreprise un parc informatique et des logiciels dont elle garantit le fonctionnement et la disponibilité), de la fonction comptable (une entreprise recourt à un expert-comptable pour la tenue de sa comptabilité et la gestion des fiches de paie), ou même de la fonction production (au début des années 2000, de nombreuses entreprises opérant dans les technologies de l’information et de la communication ont externalisé certaines activités de production pour se concentrer sur les activités de recherche et développement et sur les activités de distribution). Ces externalisations ont des conséquences fortes en matière de contrôle interne et elles peuvent affecter l’enregistrement des transactions. L’auditeur doit donc identifier les activités externalisées et la nature des transactions comptables affectées par ces externalisations. Si le risque d’audit s’avère significatif, l’auditeur doit assurer des diligences spécifiques.

2. La formalisation de l’audit En France, les normes d’audit sont les NEP (Normes d’exercice professionnel). Elles sont en grande partie inspirées (et souvent elles en sont la reproduction) des normes internationales ISA (International Standards on Auditing) émises par l’IAASB (International Auditing and Assurance Standards Board). L’Union européenne s’attache à promouvoir des normes d’audit fondées sur les ISA, mais qui tiendraient compte de certaines spécificités propres à chaque État membre. Les normes ISA représentent près de mille pages expliquant la démarche à adopter dans la réalisation d’un audit des états comptables et financiers, les attitudes de l’auditeur, les documents à conserver, etc. Comme pour la plupart des référentiels de normes (et notamment les normes comptables internationales IFRS), l’auditeur ne peut afficher sa conformité aux normes ISA que s’il a été conforme à chacune des normes dans la conduite de l’audit. Le volume et la fiabilité des preuves d’audit (ISA/NEP 500 - 501) constituent les deux caractéristiques qui vont permettre à l’auditeur de justifier la formation de son opinion. Mais ce volume et cette fiabilité doivent être appréciés pour chacune des affirmations incluses dans les états financiers. L’existence d’un volume très important

de preuves d’audit pour un élément particulier des états financiers ne permet en aucune manière de compenser une insuffisance des preuves d’audit pour un autre élément. La fiabilité des preuves d’audit est, quant à elle, étroitement liée au mode d’obtention de cette preuve. En règle générale, une preuve d’audit a un degré de fiabilité supérieur quand elle provient d’une source indépendante à l’entreprise, quand les procédures de contrôle interne sont considérées comme pertinentes et efficaces, quand la preuve est obtenue directement par l’auditeur, quand il existe une trace matérielle (un écrit, un enregistrement informatique), quand la preuve est fondée sur des documents originaux et non sur des photocopies. L’évolution des procédés d’enregistrement et de conservation des documents, mais aussi les nouveaux procédés de transmission, voire même d’édition de l’information, ont des conséquences très fortes sur le statut des preuves d‘audit. En effet, le format papier de la preuve d’audit est en train de disparaître à la fois en raison du mode d’archivage des données sous forme électronique et en raison de la difficulté à identifier un original d’une copie. De même, l’évolution des normes comptables affecte profondément le processus d’élaboration des normes d’audit3. La référence à la juste valeur, plutôt qu’au coût historique, entraîne une profonde évolution dans la nature des preuves d’audit que l’auditeur pourra collecter. En effet, dans la référence au coût historique, la preuve ultime pour la valorisation d’un actif est la facture d’achat (avec, éventuellement, les factures ou les calculs pour les coûts annexes). Dans la valorisation en juste valeur, l’auditeur pourra être amené à se référer à un prix du marché, ou au consensus qui a permis de retenir les paramètres (et les hypothèses qui vont de pair) d’une modélisation. Les procédures d’audit permettant d’obtenir des preuves d’audit sont : l’inspection de fichiers ou de documents, l’inspection d’actifs matériels, l’observation, l’entretien, la confirmation, la vérification des calculs, la vérification des procédures ou des contrôles internes, la revue analytique. La participation aux inventaires constitue un élément incontournable de collecte des preuves d’audit dès lors que le risque d’audit sur les stocks est significatif. De même, la communication directe avec les avocats de l’entreprise doit être faite dès que l’auditeur soupçonne un risque d’audit sur l’enregistrement des litiges et des réclamations. Cette communication directe est obtenue avec l’assentiment des dirigeants de l’entreprise (matériellement, l’auditeur envoie une lettre préparée par les dirigeants et recommandant aux avocats de communiquer directement avec l’auditeur).

2.1. Les techniques de valorisation et de modélisation

Pour identifier les risques d’anomalies dans les états comptables et financiers et obtenir une mesure de ces anomalies éventuelles, l’auditeur peut s’appuyer sur différentes approches.

2.1.1. La revue analytique (ISA/NEP 520) La revue analytique permet à l’auditeur d’identifier des risques et d’obtenir une meilleure compréhension de l’entreprise et de son environnement. Elle repose sur l’analyse de ratios, d’évolutions historiques, de comparaisons. Ainsi, l’auditeur peut comparer le salaire moyen de l’exercice en cours avec le salaire moyen de l’exercice antérieur en divisant le montant de la masse salariale par le nombre moyen d’employés pour chaque période. Le même calcul peut être fait mensuellement pour suivre les évolutions et détecter les mouvements qui apparaîtraient anormaux. De même, l’auditeur peut suivre les taux de marge sur différentes lignes de produits et identifier les écarts par rapport à la tendance. La revue analytique sert principalement à identifier des risques pour lesquels l’auditeur devra ensuite effectuer des investigations et des travaux complémentaires, mais elle peut également constituer une preuve d’audit quand le risque matériel d’un élément des états financiers est faible (par exemple, le niveau des stocks de fournitures administratives) ou quand les aspects statistiques sont importants (par exemple, le suivi des créances clients « âgées », c’est-à-dire ayant plus de x semaines d’ancienneté).

2.1.2. Les évaluations (ISA/NEP 540 - 545) Pour les charges et les produits calculés, et tous les éléments intégrant une évaluation par le management, l’auditeur doit : • soit réviser et tester le processus utilisé par l’entreprise pour obtenir son estimation. L’auditeur doit évaluer les données et les hypothèses sur lesquelles le management a bâti son évaluation. Il peut également se référer à des processus d’évaluation antérieurs ; • soit utiliser une évaluation indépendante pour la comparer avec celle de l’entreprise. L’auditeur peut notamment faire appel à l’avis d‘un expert (par exemple, pour l’estimation de la valeur résiduelle d’un bien mobilier ou d’une valeur foncière) ; • soit étudier les éléments postérieurs qui pourraient fournir des éléments de preuve sur la pertinence de l’évaluation. Certaines transactions se dénouent partiellement ou totalement après la clôture de l’exercice et fournissent des éléments objectifs sur la valeur des éléments comptables. L’auditeur doit s’assurer que les mesures de juste valeur et les informations communiquées sont cohérentes avec les normes comptables applicables à l’entreprise.

Il devra également s’assurer de la pertinence du classement comptable retenu par les dirigeants, et ce, particulièrement quand ce classement affecte la nature du mode d’évaluation. À la suite de la crise financière de 2008 et des accusations qui ont fleuri en France à l’encontre des normes comptables internationales censées avoir fortement contribué à la crise de confiance à l’encontre des établissements bancaires, les normes comptables internationales ont été assouplies pour permettre un basculement comptable de certains actifs d’une valorisation en valeur de marché vers une valorisation sur la base d’une valeur fixe à condition que ces actifs soient destinés à être conservés jusqu’à leur échéance. L’auditeur est alors confronté à un élément très subjectif : la volonté des dirigeants de l’entreprise de conserver ces actifs jusqu’à leur échéance. Dans la publication des comptes trimestriels 2009, ce choix comptable peut atteindre le milliard d’euros pour certaines institutions financières et faire basculer un résultat net négatif en positif et inversement. L’auditeur doit donc se faire une opinion sur le respect, par l’entreprise, de ses choix affichés. Il doit tenir compte des attitudes passées des dirigeants sur des phénomènes similaires, des documents, budgets, procès-verbaux de conseils d’administration à sa disposition, des obligations contractuelles (par exemple, celles prévoyant explicitement la conservation des actifs sous peine de pénalités), des systèmes d’incitations pouvant favoriser le respect ou l‘abandon des engagements. Dans l’application de la juste valeur, l’auditeur doit s’assurer de la permanence des méthodologies de modélisation retenues par le management de l’entreprise. Les changements de méthodologie doivent être expliqués et justifiés par l’entreprise. Les facteurs pouvant engendrer des risques significatifs sur l’évaluation en juste valeur sont notamment : • l’horizon de la période de prévision : début 2009, les évaluations en juste valeur étaient particulièrement difficiles en raison, tout à la fois, de la turbulence des marchés et de l’incapacité à anticiper les évolutions macro-économiques et microéconomiques ; • le nombre et la complexité des hypothèses entourant le processus de modélisation ; • le niveau de subjectivité associé avec le choix des hypothèses ou la construction des paramètres de modélisation ; • le degré d‘incertitude sur la survenance de certains événements sous-jacents aux hypothèses. Par exemple, la stabilité des taux de refinancement des banques centrales ; • l’absence de données objectives quand des facteurs très subjectifs sont utilisés.

Pour se protéger, l’auditeur peut demander aux dirigeants des lettres d’affirmation sur la pertinence des hypothèses retenue pour les valorisations en juste valeur, ou sur leur engagement à respecter les règles conditionnant l’application de telle ou telle norme comptable.

2.1.3. Le rapprochement de documents internes Le rapprochement de documents consiste à confronter deux documents ayant des origines distinctes afin de s’assurer de leur concordance et de mettre en évidence les différences éventuelles. Pour les factures, le rapprochement s’effectue avec le bon de commande et le bon de réception ou de livraison. Il convient de s’assurer que ne sont enregistrées et ne sont payées que les factures correspondant à un bien ou à un service demandé et reçu. Pour vérifier les procédures de contrôle interne, l’auditeur sélectionne des bons de réception ou des bordereaux de prestation et il recherche les bons de commande correspondants pour s’assurer de la réalité et de la matérialisation des contrôles sur les biens ou les services reçus. Sur les bons de commande, il peut également contrôler l’identification du service demandeur et s’assurer que la personne signataire était habilitée à formuler la demande. À partir d’un échantillon de factures, l’auditeur contrôle le rapprochement avec les bons de réception. Son contrôle porte sur les quantités et sur la nature des biens livrés ou des prestations effectuées. L’auditeur peut reconstituer la chaîne qui va de l’identification du besoin au règlement du bien ou du service. Le contrôle du règlement des factures suppose, non seulement que la nature et la quantité des produits ou des services facturés correspondent aux produits ou services reçus ainsi qu’aux besoins identifiés, mais également que le prix et les conditions de règlement soient conformes aux accords passés. En termes d’impact possible sur les comptes annuels, le risque est faible pour les conditions de règlement, car ces dernières jouent principalement sur le niveau de trésorerie et le niveau du résultat financier. Par contre, des litiges sur les prix peuvent justifier la passation de provisions pour risques et nécessitent de la part de l’auditeur une vigilance accrue pour s’assurer que les factures incriminées ont fait l’objet d’une charge à payer.

2.1.4. Le contrôle des autres flux Quand les flux concernent des tiers, le risque principal pour l’entreprise est celui d’assurer une partie du flux (le règlement des fournisseurs ou la livraison des clients) sans en percevoir la contrepartie (la livraison des fournisseurs ou le règlement des clients). Quand les flux sont internes à l’entreprise, la perte de richesse peut résulter des détournements ou des détériorations des biens ou des services liés à l’exploitation de l’entreprise.

Encadré 4.2 Les écarts entre sources d’information distinctes Pour les centrales d’achat des grandes surfaces, le suivi des flux internes va porter sur les stocks de marchandises entre le moment où les biens sont livrés par le fournisseur et celui où ils sont expédiés aux magasins. Les risques de détournement sont particulièrement élevés pour les matériels électroniques ayant un encombrement réduit, une valeur de revente forte et une identification difficile a posteriori. Les risques de détérioration ou de perte de valeur sont plus sensibles pour les produits alimentaires, notamment pour les produits frais qui exigent une chaîne de traitement du froid sans point de rupture. En matière de raffinage, les compagnies pétrolières effectuent un suivi des flux de matière à différents points du processus de production. Elles comparent le volume du pétrole brut entrant dans les installations de raffinage (compte tenu des densités et des températures), le volume des additifs et celui des pertes inhérentes au processus industriel (évaporation), avec le volume total des produits raffinés, pour s’assurer qu’il n’y a pas de pertes de matière entre l’entrée et la sortie du circuit de raffinage. En matière comptable, l’auditeur peut rapprocher des données financières issues de sources distinctes : le chiffre d’affaires comptabilisé et le chiffre d’affaires enregistré par le service commercial pour s’assurer de l’égalité des deux et pour mettre en évidence les commandes enregistrées par le service commercial, mais non encore facturées. De même, l’auditeur peut rapprocher le montant des salaires comptabilisés avec le montant des salaires versés. Les écarts doivent être expliqués et justifiés.

2.2. La confirmation externe Le principe de la confirmation externe est de rapprocher les montants figurant dans les comptes de l’entreprise auditée (qu’ils soient débiteurs ou créditeurs), avec les montants enregistrés par les tiers avec lesquels l’entreprise est en relation. Les confirmations externes (ISA/NEP 505) doivent être utilisées pour les éléments

suivants : les soldes de comptes bancaires, les soldes des créances, les stocks conservés par des tiers, les titres de propriété conservés par des avocats ou des intermédiaires financiers, les acquisitions non reçues à la date de clôture, les prêts des créanciers, les soldes des dettes. En règle générale, les confirmations positives (le destinataire doit manifester positivement son accord avec l’information qui lui est communiquée ou il doit lui-même apporter l’information demandée) constituent des preuves d’audit d’une fiabilité supérieure aux confirmations négatives (le destinataire ne se manifeste que s’il estime que l’information communiquée est incorrecte).

2.2.1. Les rapprochements de banque En matière bancaire, le rapprochement de compte porte principalement sur les soldes des comptes bancaires courants. Le rapprochement vise à réconcilier le solde indiqué par la banque avec le solde des comptes correspondants dans la balance générale de l’entreprise. La démarche de rapprochement est la suivante : 1.Choix d’une date de rapprochement : en général, il s’agit du dernier jour du mois pour les rapprochements bancaires mensuels, et du dernier jour de l’exercice pour le rapprochement bancaire de fin d’exercice. 2.Relevé du solde comptable à réconcilier. 3.Relevé du solde de l’entreprise en banque à la date la plus proche de la date d’arrêté comptable chez l’entreprise. De nombreuses banques arrêtent les relevés bancaires au 3 ou au 5 du mois suivant ; le rapprochement portera sur le solde du compte banque chez l’entreprise au 31/M et sur le solde de l’entreprise en banque au 03 (ou 05) /M+1. 4.Relevé des opérations enregistrées dans les comptes de l’entreprise, mais n’étant pas encore apparues sur les relevés bancaires. Il peut s’agir de paiements ou d’encaissements. 5.Relevé des opérations apparaissant sur les relevés bancaires, mais non encore comptabilisées dans les comptes de l’entreprise. 6.Réconciliation entre le solde du compte banque et le solde de l’entreprise en banque à l’aide des opérations relevées précédemment. Le travail de l’auditeur consiste à s’assurer que les rapprochements de banque sont effectués, qu’ils sont corrects et qu’ils ne dissimulent pas des opérations litigieuses. Pour cela, l’auditeur contrôle l’exactitude arithmétique du rapprochement (un rapprochement de banque doit être juste au centime près) puis il pointe les opérations figurant en rapprochement et il s’assure de l’apurement de ces opérations sur les

relevés bancaires ultérieurs. Accessoirement, il peut contrôler le calcul des intérêts en s’appuyant sur la gestion de trésorerie en jours de valeur. Pour les transactions comptabilisées, mais non encore débitées ou créditées en banque, l’auditeur s’assure de leur réalité en allant pointer les pièces justificatives. Pour les opérations figurant sur les relevés bancaires et non encore comptabilisées, l’auditeur doit obtenir une justification pour s’assurer de l’application correcte du principe de rattachement des produits et des charges à l’exercice les ayant générés. Pour les transactions comptabilisées, mais non encore débitées ou créditées en banque, l’auditeur doit s’assurer que ces transactions donnent lieu à un mouvement de trésorerie sur les relevés bancaires du mois postérieur et qu’il ne s’agit pas simplement d’opérations extournées comptablement le mois suivant à l’aide d’un avoir.

2.2.2. La trésorerie, clé de voûte du contrôle La trésorerie constitue la clé de voûte de toute comptabilité, car elle permet de valider l’ensemble des transactions ayant généré un mouvement de trésorerie. L’auditeur doit être particulièrement attentif à son contrôle. Pour les charges décaissées ou les produits encaissés, le seul décalage entre la comptabilité d’engagement et la comptabilité de trésorerie tient aux délais de règlement des créances et des dettes et aux délais éventuels d’écoulement des stocks. Le contrôle de la trésorerie doit aller de pair avec une analyse financière des ratios de crédit. Pour l’auditeur, le niveau des durées de crédit est important pour valider le principe de continuité de l’exploitation. Mais, pour auditer les comptes, le plus important est la variation de ces durées de crédit. En effet, un dirigeant souhaitant améliorer son résultat pourra essayer de facturer sur l’exercice des prestations ou des livraisons effectuées en début d’exercice suivant. Ceci se traduira par un allongement du crédit client puisque le client refusera de régler ses factures par anticipation. À l’inverse, on observera dans les mois suivants un retour à un délai de règlement client normal. Pour les charges et les produits calculés, il n’y a pas de mouvement direct sur la trésorerie. Néanmoins, ces charges et ces produits résultent de mouvements de trésorerie antérieurs (l’acquisition d’une immobilisation donne lieu à des amortissements), ou sont destinés à donner lieu à des mouvements de trésorerie ultérieurs (les provisions pour litiges ou restructurations sont censées couvrir les futures sorties de trésorerie liées au règlement des litiges ou aux indemnités de départ de certaines catégories de personnel). Parmi les actifs de l’entreprise, la trésorerie est l’actif le plus difficilement sécurisable. Un ordre de virement peut entraîner la disparition de milliers ou de millions d’euros. Alors que les immobilisations et les stocks sont souvent protégés du

vol ou du détournement par leur masse, leur volume, ou leur spécificité, il n’en est pas de même en ce qui concerne la trésorerie. L’auditeur doit s’assurer que le contrôle interne de l’entreprise est suffisamment fiable pour éviter tout détournement. Les procédures nécessaires sont, par exemple, les suivantes : • signature des ordres de paiement (chèques, virements, effets) réservée à certains responsables nommément désignés, double signature exigée pour les transactions excédant un certain montant ; • conservation des espèces, mais surtout des titres de paiement en un endroit sécurisé (coffre-fort) ; • vérification régulière (de préférence quotidienne à partir d’une certaine fréquence des transactions monétaires) et systématique des mouvements de trésorerie. La consultation des comptes bancaires par Internet et le transfert des fichiers facilitent la mise en place d’un contrôle quotidien, ou à défaut hebdomadaire, de la trésorerie.

2.2.3. Les circularisations (ISA/NEP 505) La réalisation d’une circularisation suppose un formalisme rigoureux. Les tiers à circulariser doivent être sélectionnés, ils doivent faire l’objet d’un suivi et d’une relance systématiques, les soldes doivent être rapprochés et expliqués. Les résultats de la circularisation doivent pouvoir être extrapolés à l’ensemble du compte de tiers concerné. Une circularisation peut porter sur la totalité des tiers étudiés ou ne porter que sur une fraction d’entre eux. Cela dépend du nombre de tiers étudiés et du risque lié à chaque tiers. Pour les clients, ou les fournisseurs, qui sont souvent nombreux, l’échantillonnage est la méthode la mieux adaptée. L’auditeur sélectionne parmi la population totale les tiers qu’il va circulariser. Deux modes de sélection complémentaires peuvent être adoptés. Le premier est la sélection aléatoire d’un échantillon statistiquement représentatif de la population. Le second mode de sélection est discrétionnaire, il consiste à retenir les tiers pour lesquels il existe un risque significatif spécifique. Ce risque peut résulter soit du volume de transactions réalisées avec ce tiers (indépendamment d’un échantillon obtenu aléatoirement, l’auditeur pourra retenir les vingt plus gros clients ou les vingt plus gros fournisseurs), soit de la perception du tiers comme étant un sujet à risque en raison de son secteur d’activité, de l’absence de contrôles... Pour identifier certains éléments ou certains risques, l’auditeur doit circulariser systématiquement les tiers suivants : • les banques, afin d’obtenir la liste et le solde des différents comptes, emprunts et placements en cours à la date de clôture ou ayant été mouvementés au cours de

l’exercice ; • les avocats, afin d’être informé des litiges en cours ou résolus pendant l’exercice ; • les notaires, afin d’obtenir la confirmation des mouvements liés aux immeubles, aux baux... ; • d’une manière générale, tous les conseillers juridiques ou fiscaux susceptibles de détenir des informations significatives sur des événements pouvant affecter l’image fidèle des comptes. Une fois les tiers à circulariser sélectionnés, l’auditeur établit une lettre type de demande de renseignements ou de demande de confirmation de solde, qu’il adresse à tous les tiers concernés. Les réponses doivent être renvoyées directement à l’adresse du cabinet d’audit, et non à celle de l’entreprise, car c’est l’auditeur, et non l’entreprise, qui initie et suit la circularisation (avec l’autorisation de la société concernée), et afin d’éviter les risques de malversations. Un principe fondamental de la circularisation est que tous les tiers sélectionnés soient étudiés, soit grâce aux réponses obtenues, soit à l’aide de procédures alternatives. En effet, une non-réponse peut traduire le manque d’intérêt de l’entreprise circularisée, mais elle peut également résulter d’un conflit entre l’entreprise auditée et celle circularisée. Les réponses obtenues sont rapprochées des renseignements figurant dans les comptes de l’entreprise. Pour les clients et les fournisseurs, l’auditeur effectue un rapprochement conforme à la pratique du rapprochement bancaire étudié précédemment. Les différences résultent le plus souvent du décalage temporel dans la comptabilisation des factures ou des règlements. Elles peuvent également provenir d’une erreur de comptabilisation (factures d’achat ou règlements comptabilisés dans un compte fournisseur erroné) ou d’un litige (factures d’achats non comptabilisées, car il existe un litige portant sur les biens livrés ou le service effectué). L’auditeur doit établir un état recensant l’ensemble des écarts relevés, en valeur et en pourcentage des transactions et du solde du compte, et l’explication de ces écarts. En extrapolant les résultats obtenus à la population tout entière, l’auditeur peut estimer le risque portant sur l’image fidèle des comptes.

2.2.4. L’utilisation des travaux de tiers Pour assurer sa mission, l’auditeur peut s’appuyer sur les travaux de confrères, sur ceux réalisés par les services d‘audit interne de l’entreprise, ou faire appel à un expert sur des questions spécifiques. En cas d’intervention simultanée de plusieurs auditeurs (ISA 600), ce qui est le cas en France avec le co-commissariat aux comptes pour les entreprises publiant des comptes consolidés, chaque auditeur doit non seulement

s’appuyer sur les travaux effectués par l’autre auditeur, mais ils doivent également se coordonner et s’assurer que chacun d’entre eux détient les compétences et met en œuvre les ressources nécessaires pour se conformer aux normes d’audit. L’auditeur principal doit également assurer une revue des documents de travail ou une discussion approfondie du plan d’audit de l’auditeur associé. Quand les travaux d’audit interne sont pertinents pour la mesure des risques d’audit sur les états financiers, l’auditeur externe doit effectuer une évaluation de la fonction d’audit interne (ISA 610), pour s’assurer qu’il pourra s’appuyer sur les conclusions des travaux d’audit interne. En effet, les auditeurs internes disposent à la fois d’une capacité plus grande pour aller au fond d’une procédure, ou pour analyser en détail un service ou une activité, et en même temps ils sont limités par leur subordination hiérarchique. Les travaux d’audit interne sont conditionnés par leur approbation par la direction générale et par leur utilité pour l’amélioration de la performance de l’entreprise. Pour pouvoir utiliser les travaux d’audit interne, les auditeurs externes doivent donc vérifier que leurs conditions de réalisation n’ont pas été affectées par des interventions hiérarchiques susceptibles d’en avoir modifié les conclusions. Un expert est une personne qui possède une compétence, une connaissance, ou une expérience particulière dans un domaine spécifique autre que la comptabilité et l’audit. L’auditeur peut embaucher directement un expert (ISA/NEP 620) ou il peut demander à l’entreprise de le faire. Les travaux d’expert sont particulièrement importants pour la valorisation de certains types d’actifs (des biens mobiliers ou immobiliers, des pierres précieuses, des œuvres d’art, etc.), pour l’évaluation des quantités ou des qualités d’actifs (des réserves pétrolières, des stocks de matière première, des durées de vie présumées), pour la détermination d’un degré d’avancement (pour des chantiers en cours sur des contrats à long terme), pour l’analyse de contrats (quand ceux-ci contiennent des clauses spécifiques peu explicites), pour des calculs actuariels (évaluation des engagements de retraite).

2.3. La recherche de la fraude (ISA/NEP 240) La norme d’audit permet de distinguer la fraude de l’erreur. Elle exige de l’auditeur qu’il fasse preuve de son scepticisme professionnel, que la possibilité d’une fraude soit ouvertement discutée entre les membres de l’équipe d’audit. Elle propose une démarche pour répondre aux cas de fraude.

2.3.1. Les caractéristiques de la fraude Des états financiers erronés peuvent résulter d’erreurs dans leur préparation ou de malversations. La fraude se distingue de l’erreur par son caractère intentionnel. Cependant, bien qu’il s’agisse d’un concept de droit pénal, ce n’est pas à l’auditeur de

caractériser les différents éléments de fraude (par exemple, la recherche d‘un intérêt direct ou indirect par l’auteur de la fraude), mais c’est à lui d’en relever les éléments matériels si ses investigations lui permettent d’en mettre à jour. La fraude peut porter sur une présentation erronée des états financiers ou sur un détournement des biens sociaux (les actifs de l’entreprise). Elle requiert généralement que les mécanismes de contrôle (notamment hiérarchiques) aient été contournés. Ceci peut se faire par l’enregistrement comptable de transactions fictives, la justification par des hypothèses mensongères, le décalage dans le temps de la reconnaissance de transactions réalisées (antidatées ou postdatées), la construction de montages comptables complexes, la modification de l’enregistrement comptable des transactions, etc. Les opérations réalisées par le trader dans l’affaire Kerviel à la Société Générale pouvaient être qualifiées de fraude, non pas tant en raison de la nature de ces transactions (non autorisées, mais sans bénéfices directs pour l’intéressé), qu’en raison des opérations de contournement des contrôles les ayant accompagnées. Le risque de non-détection d’une fraude est généralement plus élevé que celui de nondétection d’une erreur, car la fraude s’accompagne d’une altération des procédures de contrôle (et donc d’un risque de contrôle très élevé puisque les procédures de contrôle interne deviennent pour partie inopérantes). L’auditeur qui s’appuie sur les procédures de contrôle en vigueur dans l’entreprise peut être dupé par leur apparente conformité. Ce risque est d’autant plus important que la fraude est perpétuée par des personnes occupant un niveau hiérarchique élevé et, par conséquent, susceptibles d’intervenir sur différents niveaux de contrôles. Dans l’affaire Enron, le principal facteur à la décharge des auditeurs est que la fraude était perpétuée au plus haut niveau de la hiérarchie (le directeur financier du groupe avec la complicité bienveillante du directeur général et du président du conseil).

2.3.2. La responsabilité des organes de gouvernance Le premier élément de lutte contre la fraude réside dans la culture éthique de l’entreprise et dans l’implication des organes de gouvernance dans le respect des valeurs d’honnêteté et d’éthique. D’un point de vue théorique, il s’agit d’un facteur souvent négligé quand une entreprise privilégie à outrance les intérêts financiers de quelques acteurs (qu’il s’agisse des principaux actionnaires, des dirigeants, d’un client, d’un fournisseur, ou même de salariés) au détriment de l’équilibre entre les diverses parties prenantes. Si l’objectif de maximisation de la valeur de marché de l’entreprise a souvent été présenté comme la garantie de l’efficience dans la gestion des ressources, on a oublié que cette focalisation pouvait constituer une puissante incitation à la fraude comme l’ont montré tous les scandales comptables et financiers du début des années 20004. À l’inverse, une focalisation plus équilibrée sur les diverses parties prenantes

peut contribuer à une réduction du risque de fraude et, in fine, à une meilleure contribution de l’entreprise à la satisfaction des besoins de toutes ses parties prenantes. Quand l’auditeur assure l’évaluation du système de contrôle interne, il doit identifier les mécanismes mis en œuvre par la direction générale pour appréhender les risques de fraude et pour en référer au conseil d’administration ou au comité d’audit. L’auditeur doit, également, demander communication à la direction générale et au service d’audit interne des cas de fraude relevés. L‘auditeur ne peut jamais être totalement certain de l’absence de fraude. Par le principe de scepticisme professionnel, l’auditeur garde présente la possibilité qu’une fraude entraînant des états financiers erronés puisse se produire. L’expérience passée de l‘auditeur avec les dirigeants et les organes de gouvernance ne doit pas lui faire considérer une fraude comme étant du domaine de l’irréel. La plupart des grandes fraudes ont toujours été perçues par les proches spectateurs comme étant impossibles à imaginer. L’affaire Madoff est à cet égard exemplaire, puisque, si cette fraude a pu se maintenir à grande échelle pendant plus d‘une décennie, c’est que les victimes de l’escroquerie ne concevaient pas qu’une personne comme Bernard Madoff puisse se conduire comme un escroc. La connaissance de l’entreprise, de ses actionnaires et administrateurs, de ses dirigeants et de ses employés, qui constitue habituellement un élément de réduction du risque du point de vue de l’audit, peut constituer un facteur de non-détection de la fraude si l’auditeur se départ de son scepticisme professionnel. En règle générale, les documents fournis en tant que justificatifs des transactions doivent être tenus pour authentiques. Par contre, si des présomptions laissent penser que certains documents pourraient s’avérer des faux, l’auditeur doit mettre en œuvre des moyens complémentaires pour s’assurer de leur véracité. Dans l’affaire Parmalat, qui a secoué l’Italie au début des années 2000, les auditeurs ont accepté une simple lettre de confirmation du solde d’un compte bancaire situé dans un paradis fiscal pour justifier l’existence d’un actif de plusieurs milliards d’euros. Manifestement, les auditeurs n’ont pas fait preuve du scepticisme professionnel et des diligences nécessaires compte tenu du risque associé à cet actif.

2.3.3. L’identification de la fraude L’identification d’un élément de fraude doit conduire l’auditeur à passer en revue de façon très précise tous les domaines similaires qui auraient pu être touchés par la fraude. Par exemple, si une fraude est détectée au cours d’un inventaire, l’auditeur devra identifier l’étendue de la fraude, les raisons qui l’ont rendue possible, et il devra renforcer sa participation aux inventaires de sites similaires. Il pourra également exiger

la modification des procédures de contrôle interne. La compréhension des processus d’enregistrement comptable peut également permettre à l’auditeur d‘identifier les zones où des écritures comptables frauduleuses auraient pu être passées. De même, la compréhension des activités de l’entreprise doit permettre à l’auditeur d’identifier les transactions anormales ou exceptionnelles susceptibles de recouvrir des cas de fraude. Dans le cas d’Enron, la multiplication des entités ad hoc impliquées dans les montages comptables était loin de constituer un facteur de simplicité pour la compréhension des transactions comptables. À défaut d’être réellement frauduleux, ces montages financiers visaient nécessairement à contourner la législation. De même, certaines structures associatives para-municipales ont parfois privilégié des montages comptables visant à obtenir le remboursement de la TVA sur des opérations d’investissement sans avoir à collecter la TVA correspondante. De tels montages, à la limite de la légalité, constituent souvent le terreau de fraudes plus importantes. L’auditeur peut exiger de la direction générale une lettre de représentation (ou d’affirmation), dans laquelle les dirigeants reconnaissent explicitement leur responsabilité en matière de détection de la fraude et affirment avoir communiqué toutes les informations en leur possession sur les cas éventuels de fraude. En cas de découverte d’une fraude, l’auditeur doit en référer aux organes de gouvernance, mais il doit également, dans le respect des dispositions juridiques propres à chaque pays et dans le respect des règles de confidentialité, en référer aux organes judiciaires. Il doit envisager la possibilité d’arrêter sa mission de certification des états financiers si celle-ci apparaît impossible à assurer.

2.3.4. Le contrôle des faits délictueux par les commissaires aux comptes L’auditeur doit apprécier dans quelle mesure le non-respect des lois et des réglementations peut affecter la sincérité et l’image fidèle des états financiers (ISA/NEP 250). Mais ce n’est pas à lui de relever tous les manquements de l’entreprise aux règles et lois en vigueur. Par contre, la connaissance de ces règles et lois peut permettre à l’auditeur d’identifier les conséquences comptables et financières de leur non-respect. Quand des cas de non-conformité à la législation sont relevés, l’auditeur doit en informer les organes de gouvernance. Si les infractions à la légalité remontent aux organes de gouvernance eux-mêmes, l’auditeur doit se tourner vers la justice. Dans le cadre légal du commissariat aux comptes, l’auditeur doit révéler les infractions expressément prévues par la loi du 24 juillet 1966 ou par d’autres textes et présentant une incidence significative sur les comptes sociaux. Les infractions prévues

par le droit fiscal, le droit bancaire, le droit de la concurrence, le droit social... doivent être révélées si elles sont de nature à affecter la situation financière, le patrimoine ou le résultat de l’entité, ou à modifier l’interprétation des comptes annuels. Le commissaire aux comptes doit prendre en considération : • l’aspect significatif de l’infraction : les faits doivent affecter significativement la présentation des comptes annuels ou ils doivent porter préjudice à l’entreprise ou à un tiers ; • l’aspect intentionnel de l’infraction : les faits doivent traduire une intention délibérée d’enfreindre la réglementation. Le commissaire aux comptes doit ainsi tenir compte des suites données à son intervention lorsqu’il met en demeure les dirigeants sociaux de régulariser la situation résultant des faits délictueux. Dans le cadre de sa mission, le commissaire aux comptes n’a pas à mettre en œuvre de procédures particulières destinées à rechercher l’existence possible de faits délictueux. Néanmoins, le commissaire aux comptes ne peut pas certifier l’image fidèle des comptes en ignorant les réglementations spécifiques susceptibles d’avoir une incidence significative sur les comptes, et en particulier celles dont le non-respect serait de nature à mettre en cause la continuité d’exploitation de l’entreprise. Si les faits concernés ont une qualification pénale, l’auditeur doit révéler les faits dans les meilleurs délais au procureur de la République. La révélation des faits délictueux est faite par écrit. Dans son rapport général, le commissaire aux comptes doit mentionner les faits incriminés. Par contre, ces faits n’entraînent pas nécessairement une réserve ou un refus de certifier. En cas de non-révélation de faits délictueux, le commissaire aux comptes engage sa responsabilité pénale, et il peut être condamné à un emprisonnement de un à cinq ans en plus de sanctions pécuniaires.

2.4. Les contrôles spécifiques Certains risques d’audit sont spécifiques à des situations nommément identifiées. Il s’agit des risques dus aux transactions réalisées entre parties liées, des événements postérieurs à la clôture susceptibles d’affecter la présentation ou la compréhension de l’image de l’entreprise à la date de clôture, des événements susceptibles d’affecter la continuité d’exploitation de l’entreprise.

2.4.1. Les parties liées (ISA/NEP 550) L’auditeur doit s’assurer que toutes les informations relatives aux transactions entre parties liées ont bien été identifiées, approuvées et font l’objet d’une communication adéquate. Pour identifier les parties liées à l’entreprise, l’auditeur doit assurer un suivi des conventions antérieures, contrôler les procédures de l’entreprise, recenser les

affiliations des membres des organes de gouvernance avec d’autres entités, obtenir un état nominatif des principaux actionnaires, consulter les procès-verbaux du conseil d’administration, s’informer auprès des auditeurs antérieurs ou des autres auditeurs du groupe, consulter les déclarations fiscales et les diverses déclarations remises aux organismes légaux. Le risque principal sur les transactions réalisées entre l’entreprise et des parties liées est que ces dernières utilisent l’avantage qui leur est conféré par leur position au sein des organes de direction ou de gouvernance pour obtenir des conditions non conformes aux conditions habituellement consenties pour ce type de transactions. Dans le cas extrême, certaines transactions réalisées par des parties liées peuvent s’apparenter à des abus de biens sociaux.

2.4.2. Les événements postérieurs à la clôture (ISA/NEP 560) Les événements postérieurs à la clôture sont les événements, tant favorables que défavorables, qui se produisent entre la date d’arrêté des comptes et la date d’approbation des comptes par le conseil d’administration. En application de la règle de prudence, les dettes ou les pertes constatées après la clôture d’un exercice doivent normalement être prises en compte ; par contre, les produits probables à la clôture d’un exercice et rendus certains après cette clôture n’ont pas à être constatés. Si l’événement est lié à des conditions existant à la date de clôture, les comptes doivent être ajustés. Si l’événement n’a pas de lien direct avec une situation existant à la clôture de l’exercice, les comptes annuels n’ont pas à être modifiés, mais il doit être fait mention de l’événement dans l’annexe. Le rapport de gestion doit exposer les événements importants intervenus postérieurement à la clôture. La nature des événements à prendre en compte peut notamment porter sur : • l’évaluation de biens immobiliers qui ferait apparaître une diminution permanente de valeur : les provisions sur l’immobilier calculées au 31 décembre peuvent se justifier par les prix des transactions intervenues en début d’année suivante ; • la réception de comptes annuels ou de toute autre information afférente à une société non cotée et qui ferait apparaître une diminution permanente de la valeur ; • la réception après la clôture d’informations sur la valeur nette réalisable de produits stockés ou en cours ; • la réalisation de nouvelles estimations de bénéfices partiels sur des contrats à long terme. L’auditeur peut éventuellement demander la modification des comptes pour intégrer les conséquences des faits survenus postérieurement. Dans le cas de la Société Générale, bien que la fraude n’ait été découverte qu’en janvier 2009, et qu’au 31

décembre 2008 la situation nette des positions prises par le courtier indélicat était positive pour plus d’un milliard d’euros, la banque a décidé de provisionner le montant global de la perte constatée en janvier (cinq milliards d’euros) sur les comptes 2008 en considérant que le fait générateur de la perte remontait à la pratique de manœuvres frauduleuses antérieures à la clôture des comptes.

2.4.3. La continuité d’exploitation (ISA/NEP 570) Le principe de continuité d’exploitation est une hypothèse fondamentale dans la préparation des états financiers5. Mais comme tous les éléments concourant à la préparation et à la présentation des états comptables et financiers, c’est à la direction de l’entreprise d’évaluer la capacité de l’entreprise à assurer la poursuite de son exploitation. Néanmoins, l’auditeur doit évaluer la pertinence de l’hypothèse faite par les dirigeants. Il pourra notamment s’appuyer sur sa connaissance et son étude des événements postérieurs à la clôture. En l’absence de mention contraire, les comptes sont établis sur la base de la continuité d’exploitation. Ceci signifie que le compte de résultat et le bilan n’ont pas à faire apparaître l’intention ou la nécessité de liquider la société ou d’en réduire significativement l’activité et la structure. Pour s’assurer du respect du principe de continuité de l’exploitation, l’auditeur doit effectuer un certain nombre de diligences. Il doit ainsi étudier la position de trésorerie de l’entreprise lors de ses diverses interventions. Il doit s’assurer que l’entreprise disposera de suffisamment de liquidités (réelles ou potentielles sous la forme de concours bancaires garantis) pour poursuivre son activité sur l’exercice ultérieur. L’état du passif exigible et de l’actif disponible constitue une information essentielle sur la situation du client. Il est d’ailleurs souhaitable que l’entreprise réalise des prévisions de trésorerie sur les douze mois à venir. En cas de doute sur le respect de la continuité d’exploitation, la norme d’audit prévoit que l’auditeur doit accroître ses travaux d’audit sur les facteurs pouvant contribuer, soit à la cessation d’activité de l’entreprise, soit à sa poursuite. Certains travaux prennent alors plus d’importance que d’autres. Il en est notamment ainsi des travaux d’audit sur les flux de trésorerie (réalisés et prévisionnels), sur l’écoulement des stocks, sur les clauses bancaires de remboursement anticipé, sur les contrats à long terme passés avec certains clients (prévoyant, par exemple, des volumes de livraison), etc. L’auditeur devra également tenir compte des plans publics de relance de l’économie et de protection de certains secteurs d’activité. Si l’entreprise fournit une information claire et pertinente, y compris sur les risques de remise en cause de la continuité d’exploitation et sur les mesures prises pour y faire face, l’auditeur pourra offrir une certification sans réserve qui attirera néanmoins

l’attention sur les paragraphes du rapport annuel où sont rappelés les risques supportés par l’entreprise et relatifs au respect du principe de continuité d’exploitation. L’auditeur devra être particulièrement vigilant dans les cas suivants : • réalisation de pertes importantes ; • endettement élevé de l’entreprise (apprécié par un ratio mesurant l’endettement rapporté aux capitaux propres, ou le résultat financier rapporté au résultat d’exploitation) ; • environnement économique ou social très dégradé. Si les besoins prévisionnels de trésorerie ne sont pas résolus, l’auditeur devra mentionner la remise en cause du principe de continuité de l’exploitation. Préalablement à la dégradation de la situation de trésorerie de l’entreprise, d’autres faits peuvent être recensés, notamment l’augmentation du besoin en fonds de roulement (gonflement des stocks à la suite d’invendus).

Encadré 4.3 Le cas Majorette Au 31 décembre 1991, Majorette affichait des capitaux propres de 230,2 millions de francs (MF) contre 265,6 MF l’exercice précédent. L’activité principale de l’entreprise était la production, en direct ou en soustraitance, de petites voitures. Jusqu’à la fin des années quatre-vingt, cette entreprise familiale cotée à la Bourse de Lyon pouvait être qualifiée de « success story ». En 1989, pour la maison mère, le résultat net était de 37,7 MF pour un chiffre d’affaires de 583,4 MF. En raison de la crise économique survenue à la suite de la première guerre du Golfe, le chiffre d’affaires de l’entreprise a chuté en 1990 puis à nouveau en 1991. En 1990, le résultat net de la maison mère était de 1,5 MF pour un chiffre d’affaires de 541,5 MF et en 1991, le résultat net faisait apparaître une perte de 24,8 MF pour un chiffre d’affaires de 378,7 MF en diminution de 30 %. Dans son rapport de gestion en juin 1992, le président du conseil d’administration notait : « en 1991, nous avons réduit notre endettement de 50 MF et nous poursuivons en 1992 notre effort de réduction des encours, de désendettement, et de rigueur dans nos investissements ». Dans le rapport général signé du 1er juin 1992, les commissaires aux

comptes formulaient une réserve : « les comptes annuels font apparaître un résultat courant avant impôt déficitaire de 40,8 MF, la baisse de chiffre d’affaires constatée au cours des premiers mois de l’année 1992 conduit à prévoir un nouvel exercice déficitaire. Par ailleurs, le financement de l’entreprise est assuré par divers concours bancaires, non confirmés à ce jour. En raison de cette incertitude, la convention comptable de continuité de l’exploitation pourrait être mise en cause et il pourrait en résulter des ajustements significatifs sur certains postes d’actif et de passif. Sous la réserve ci-dessus précisée, nous certifions que les comptes annuels sont réguliers et sincères et donnent une image fidèle du résultat des opérations de l’exercice écoulé ainsi que de la situation financière et du patrimoine de la société en fin d’exercice ». En novembre 1992, la société Majorette était en cessation de paiement. Les actionnaires ont perdu le montant de leur apport. En avril 1993, le tribunal de commerce a décidé de la cession des actifs (à l’exclusion de toute reprise du passif) au groupe Ideal-Loisirs pour 150 MF payables sur quatre ans, alors que le passif à combler s’élevait à 450 MF. Certaines situations sans incidence à court terme peuvent remettre en cause la pérennité de l’entreprise. Ces situations sont souvent liées à la politique stratégique de l’entreprise ou à des problèmes relationnels ou organisationnels : l’absence de nouveaux produits pour les laboratoires pharmaceutiques ou les éditeurs de logiciels, la mésentente entre associés au sein des cabinets de prestations de service à forte valeur ajoutée, l’obsolescence des matériels de production...

3. Les cycles comptables et les processus Encadré 4.4 La crise économique et financière de 2008 et 2009 Au 1er trimestre 2009, tous les sous-traitants automobiles ont enregistré une chute de leur chiffre d’affaires pouvant atteindre −50 % en raison de l’effondrement du marché automobile au 4e trimestre 2008, effondrement qui s’est poursuivi au 1er trimestre 2009 (avant un redressement au 2e trimestre dû notamment aux mesures de relance

prises par de nombreux pays). L’auditeur confronté à cette situation se trouve alors devant un dilemme : doit-il remettre en cause le principe de continuité d’exploitation ? De nombreuses études ont montré que la remise en cause du principe de continuité d’exploitation par l’auditeur accélérait la mise en cessation de paiement de l’entreprise concernée puisque chaque créancier s’empresse de recouvrer ses créances et refuse d’en accorder de nouvelles. De même, les clients ont tendance à se détourner des entreprises en difficulté par crainte, soit de n’être pas livré, soit de ne plus bénéficier des garanties de service après-vente, et les banques font jouer les clauses de protection pour exiger le remboursement des prêts consentis. Pour avoir une bonne compréhension des risques de l’entreprise, l’auditeur doit respecter les principaux cycles de fonctionnement de l’entreprise. L’auditeur peut redécouper l’ensemble des états financiers en distinguant entre le cycle d’investissement et de financement qui porte sur le haut du bilan, et le cycle d’exploitation qui retrace les activités ordinaires de l’entreprise. Le découpage par cycle n’est pas normé. Chaque cabinet d’audit peut adopter le découpage qui lui semble opportun. Par contre, les normes portent sur les différents éléments figurant dans les cycles d’audit. La liste des cycles comptables qui est proposée ci-dessous, ainsi que la nature des travaux d’audit afférents, est purement indicative. Les logiciels d’aide à l’audit permettent, à partir d’un transfert de la balance générale de l’entreprise auditée, de disposer d’une ventilation des différents comptes par cycles. Chaque membre de l’équipe d’audit se voit alors assigner la responsabilité de mener les tests d’audit sur un ou plusieurs cycles.

3.1. La validation des états comptables Pour effectuer le découpage des états financiers, l’auditeur doit s’appuyer sur la balance générale pour obtenir un détail des comptes qui soit suffisamment fin. La balance générale constitue l’instrument de synthèse du service comptable, et le grand livre permet d’obtenir le détail des écritures pour chaque compte.

3.1.1. Le recours à la balance générale : le détail des postes des états financiers Comptablement, les états financiers d’une entreprise sont obtenus par regroupement et, plus rarement, par éclatement des différents comptes de la balance. Les états financiers

comprennent le bilan, le compte de résultat et l’annexe. Le bilan et le compte de résultat sont élaborés à partir des soldes des comptes de la balance générale. La balance générale respecte la nomenclature prévue par le Plan comptable général, mais elle peut fournir des comptes plus détaillés pour certaines opérations en créant des souscomptes. L’auditeur doit certifier les états financiers. Pour pouvoir les auditer, il doit reconstituer ou obtenir la correspondance entre les comptes de la balance générale et les comptes figurant au compte de résultat ou au bilan. Il doit s’assurer que tous les comptes de la balance générale sont bien repris dans le bilan ou le compte de résultat et inversement. Pour la suite de son travail, l’auditeur pourra s’appuyer directement sur la balance générale, une fois qu’il aura établi cette concordance. Les états financiers ne sont pas élaborés uniquement en effectuant des regroupements de comptes, mais également en distinguant la nature du solde du compte (débiteur ou créditeur). Selon le PCG, toute compensation est interdite, sauf lorsqu’elle est expressément prévue par les dispositions en vigueur. Par exemple, on ne peut pas compenser le solde créditeur d’un compte client particulier par les soldes débiteurs des autres comptes clients. Cette règle de présentation, en dehors de son formalisme, s’explique par la nature différente des créances et des dettes. Du point de vue de l’entreprise, une dette devra toujours être honorée si elle est justifiée, alors qu’une créance peut ne pas être recouvrée (le même raisonnement pourrait être effectué concernant l’échéance de la créance ou de la dette). La non-compensation s’explique donc par le souci de ne pas confondre des éléments ne présentant pas le même degré de certitude. Si par son examen et son test des procédures de contrôle interne, l’auditeur a une certitude raisonnable que toutes les transactions ont bien été enregistrées, son travail final s’attachera surtout à vérifier le bon enregistrement des transactions, c’est-à-dire à justifier les soldes des comptes de la balance générale. La balance générale fournit les informations élémentaires nécessaires tant à l’élaboration des analyses financières qu’à l’utilisation mensuelle en contrôle de gestion. Pour l’analyse financière d’une entreprise, la balance générale constitue l’élément de base. En effet, l’analyse financière consiste à présenter différemment les flux financiers de l’entreprise figurant dans le compte de résultat et le bilan, et principalement à s’attacher aux variations des comptes de bilan. Les analystes financiers, ne disposant pas de la balance générale de l’entreprise, sont obligés de reconstituer le détail de certains comptes à partir des informations fournies en annexe, lesquelles émanent, le plus souvent, de la balance générale. Dans les PME, la comptabilité générale peut servir de base à un suivi mensuel de

gestion. Dans ce cas, les sous-comptes de la balance générale contiennent les informations nécessaires à un suivi des activités de l’entreprise.

3.1.2. La ventilation des comptes de bilan et des comptes de charges et produits Deux types de contrôle peuvent être menés pour valider les comptes : le contrôle des flux de transaction intervenus sur la période et le contrôle de la situation en fin de période. Pour les comptes de bilan, l’auditeur certifie les comptes de clôture. Le solde d’un compte de bilan peut être appréhendé de deux façons distinctes. Selon la première, le solde de fin d’exercice est la résultante du solde de début d’exercice et de l’ensemble des mouvements de l’exercice comptabilisés au débit ou au crédit du compte. Selon la seconde approche, le solde de fin d’exercice d’un compte de bilan est justifié par les dernières transactions. Les travaux d’expertise comptable et de surveillance de comptabilité reposent principalement sur la seconde méthode alors que les travaux d’audit s’appuient sur la première. L’approche d’audit par cycle va consister à regrouper dans une même analyse les comptes de bilan et les comptes de résultat liés à des transactions communes. Compte tenu de la règle d’intangibilité du bilan d’ouverture, les soldes des comptes de bilan en début d’exercice s’imposent à l’auditeur. La validation des flux de transaction intervenus au cours de l’exercice permet ainsi de contrôler non seulement les comptes de résultat, mais également les comptes de bilan. Le contrôle des flux nécessite une analyse et un test approfondis des procédures de contrôle interne qui sont seules à même de garantir la réalité et l’exhaustivité de l’enregistrement des transactions.

3.2. Le découpage par cycles Il existe six cycles principaux qui peuvent faire l’objet d’une décomposition plus fine : investissement, financement, achats, ventes, rémunérations, impôts et taxes.

3.2.1. Le cycle d’investissement : les immobilisations incorporelles et corporelles – investissements, cessions, amortissement et dépréciation La condition essentielle de reconnaissance d’un actif immobilisé est que cet actif procure à l’entreprise des avantages économiques futurs. La condition complémentaire est que l’actif immobilisé puisse être valorisé de façon fiable. L’auditeur doit non seulement s’assurer que chaque immobilisation corporelle contribue à la génération d’avantages économiques futurs (ce qui, a contrario, implique que des installations techniques obsolètes doivent être sorties de l’actif), mais aussi que la valorisation

initiale des immobilisations prend en compte les coûts non réalisés, et seulement estimés liés à la fin de vie du bien. L’auditeur doit à la fois éviter le risque de sous-valorisation des actifs incorporels (des développements qui devraient être inscrits à l’actif de l’entreprise et qui ne le sont pas) et le risque de survalorisation (des projets de recherche ou de développement qui ne remplissent pas les conditions pour être inscrits à l’actif). Pour remplir sa mission, l’auditeur devra non seulement consulter les écritures comptables, mais il devra aussi et surtout s’appuyer sur les procédures de contrôle interne qui garantissent le processus conduisant à la reconnaissance de projets de développement devant être portés à l’actif de l’entreprise. Les normes comptables internationales fournissent la liste des éléments qui doivent faire l’objet de procédures formalisées de contrôle interne et qui doivent être contrôlés. En normes comptables internationales, le plan d’amortissement d’une immobilisation n’est pas figé lors de l’enregistrement initial du bien, mais il évolue pour représenter l’évolution des phénomènes économiques. Les travaux de l’auditeur (impairment test) devront couvrir l’ensemble des facteurs susceptibles de modifier la durée d’utilité des différents actifs. Dans certaines activités, le montant du chiffre d’affaires est étroitement corrélé au niveau des immobilisations ; l’auditeur peut alors effectuer une revue analytique. Il en est de même concernant certaines catégories de charges, telles les dépenses de maintenance ou de réparation. Concernant les créations d’immobilisations, l’auditeur doit examiner les états relatant les heures de personnel et les fournitures affectées à la production de l’immobilisation ainsi que le montant des coûts indirects imputés. Pour les cessions d’immobilisations, l’auditeur doit vérifier la comptabilisation des écritures et le calcul des plus ou moins-values. L’auditeur doit également être vigilant quand les actifs immobilisés sont aisément transportables (cas du matériel informatique) ou peu protégés tant juridiquement que physiquement.

3.2.2. Le cycle de financement : les capitaux propres, les provisions réglementées et l’affectation du résultat Le cycle de financement comprend l’ensemble des écritures comptables enregistrant les transactions liées au financement de l’entreprise. Pour certains financements, l’entreprise peut être conduite à réaliser des opérations de couverture qui doivent être analysées de façon spécifique par l’auditeur. Pour le contrôle des comptes sociaux, l’essentiel des travaux est de nature juridique. L’auditeur s’assure que l’entreprise respecte les obligations légales. Par contre, pour les comptes consolidés, les opérations de contrôle des capitaux propres sont beaucoup

plus complexes. L’auditeur doit prendre en compte les intérêts minoritaires, les opérations intragroupes, les écarts d’acquisition, etc. Quand l’auditeur est confronté à des difficultés pour déterminer la nature d’un instrument de financement, le critère central est celui d’obligation contractuelle. Cette définition conditionne le calcul des ratios de capitaux propres exigés pour la couverture des risques dans les activités de banques ou d’assurances. Il peut être tentant pour un directeur financier de considérer qu’un instrument de financement relève davantage de la catégorie des capitaux propres que de celle des passifs financiers, puisque cela va affecter fortement la présentation de ses ratios financiers. C’est à l’auditeur d’exercer son jugement en fonction de l’ensemble des éléments d’information à sa disposition. L’audit des instruments financiers pose de nombreuses difficultés en raison, tout à la fois, de la nature de ces instruments (non matériels) et des problèmes d‘évaluation qui en découlent. Les instruments financiers revêtent généralement la forme d’un contrat. Par conséquent, l’auditeur doit s’assurer qu’il dispose de tous les contrats nécessaires et que ceux-ci font bien apparaître toutes les clauses acceptées par les parties. Comme l’a montré la crise financière de 2008, des clauses apparemment anodines (car n’ayant aucune raison de s’appliquer lors de la conclusion du contrat) peuvent se révéler fondamentales quand les marchés connaissent des évolutions dramatiques ou quand des acteurs font défaut sur leurs engagements. En normes internationales, le montant des capitaux propres peut être affecté par les évolutions de la valorisation de certains actifs et passifs (notamment les instruments financiers). Les enjeux d’audit sur la présentation du résultat de l’exercice peuvent être très significatifs puisque selon la nature de l’instrument financier, la variation de la juste valeur doit être comptabilisée en résultat ou en variation des capitaux propres. L’auditeur doit non seulement avoir accès aux informations, mais il doit également les comprendre et être capable d’en évaluer les conséquences pour l’entreprise et pour la présentation des états financiers. Les opérations de couverture présentent des difficultés particulières, car elles permettent une compensation entre des actifs et des passifs. L’auditeur doit s’assurer que la position adoptée constitue une véritable couverture et non une position spéculative, et qu’elle a été approuvée soit sur le principe, s’agissant d’une opération de couverture, soit spécifiquement, s’agissant d’une opération spéculative. L’auditeur doit également s’assurer que les contreparties aux opérations de couverture sont des entités extérieures à l’entreprise (si un groupe assure lui-même la contrepartie sur certaines transactions par le biais de ses filiales ou de la société mère, il ne s’agit pas d’une opération de couverture, car le risque n’est pas transféré à l’extérieur du groupe). Une des difficultés de l’audit dans l’affaire Enron était la multiplication des sociétés-

écrans qui étaient détenues par le groupe et détenaient elles-mêmes des participations dans des sociétés ad hoc avec lesquelles le groupe réalisait des transactions en les considérant comme des entités externes au groupe. Le niveau d’endettement de l’entreprise est une préoccupation de l’auditeur pour au moins deux raisons : • la continuité de l’exploitation : un niveau d’endettement trop élevé peut compromettre la pérennité de l’entreprise et constituer un motif de déclenchement de la procédure d’alerte par le commissaire aux comptes ; • le risque de non-exhaustivité des engagements de l’entreprise. Par exemple, dans les années 1980, l’entreprise « Ciments français » a fait porter des participations dans des sociétés de cimenterie à des sociétés partenaires (avec une clause tenue secrète de rachat de ces participations à un prix convenu à l’avance). Le marché du ciment s’est retourné et la valeur de marché des cimenteries est devenue inférieure aux engagements contractés. L’entreprise a donc dû constater les pertes correspondantes sur ses engagements hors bilan. Comptablement, l’affaire n’est pas très différente de ce qu’Enron réalisera une décennie plus tard. La revue analytique doit permettre à l’auditeur de contrôler la cohérence des charges d’intérêt par rapport au montant des dettes financières. Un ratio « intérêts/dettes financières » anormalement élevé, compte tenu des taux d’intérêt constatés, peut signifier un risque de non-exhaustivité des dettes financières. Ce ratio peut également s’expliquer par des transferts de résultat au profit d’une société financière qui facturerait des intérêts ou des commissions anormalement élevés. À l’inverse, un ratio anormalement faible indique principalement un risque de non prise en compte de la totalité des charges d’intérêt. L’auditeur contrôle également les autres modes de financement et en particulier le crédit-bail.

3.2.3. Les stocks, les achats et les dettes fournisseurs En fin d’exercice, les procédures de contrôle interne doivent prévoir une identification de l’ensemble des produits entrant en stock ou sortant du stock afin d’assurer le principe de séparation des exercices et de rattacher les transactions comptables aux flux physiques. La rentabilité d’une activité peut être analysée par la revue analytique des comptes de charges et de produits. Si la comptabilité analytique est « réconciliée » avec la comptabilité générale, l’auditeur peut effectuer la revue analytique par produit ou par ligne d’activités. Une revue faisant ressortir des pertes pour certains produits peut s’expliquer par des raisons conjoncturelles ou environnementales, mais elle peut également s’expliquer par un mauvais enregistrement des charges ou des produits (ce

qui remet en cause les procédures de contrôle interne d’enregistrement des transactions) ou par une mauvaise évaluation des stocks (en quantité ou en valeur). La revue analytique est particulièrement importante pour le suivi des marchandises. À partir de la connaissance des taux de marge, l’auditeur peut contrôler la cohérence des ventes de marchandises par rapport aux achats non stockés de marchandises (achats de marchandises corrigés de la variation des stocks de marchandises). Les taux de marge peuvent être estimés à partir d’une analyse des taux de marge historiques ou à partir des taux de marge publiés dans des revues professionnelles. L’auditeur peut affiner son travail en effectuant une analyse mensuelle des taux de marge par famille de façon à déceler l’existence d’omission de transactions ou de double enregistrement de transactions au cours d’un mois donné. Cette analyse permet également d’apprécier la fiabilité du suivi des stocks. Grâce à la codification informatique des produits, l’auditeur peut effectuer un rapprochement entre les fichiers d’achat de marchandises (les entrées), les fichiers de vente de marchandises (les sorties) et les fichiers d’inventaire des marchandises. Pour l’audit des centrales d’achat, l’obtention de ces fichiers permet de contrôler les quantités et ainsi de vérifier l’état théorique des stocks. La réalisation de l’inventaire physique permet de mettre en évidence les stocks disparus ou obsolètes. Le rapprochement des fichiers d’entrée et de sortie permet également de calculer les durées de rotation des stocks pour appréhender les stocks à rotation lente, voire les stocks dont la durée prévisible d’écoulement est supérieure à une année. L’auditeur doit s’assurer que les stocks appartenant à l’entreprise, mais détenus par des tiers, ont fait l’objet d’arrangements adéquats. Pour cela, l’auditeur pourra tenir compte de la réputation et de l’image de marque des dépositaires du stock, des procédures utilisées par le client pour confirmer les quantités détenues par l’entreprise tierce, et il pourra contrôler les attestations remises au client par l’entreprise dépositaire des stocks. Pour apprécier la pertinence des méthodes de valorisation retenues par l’entreprise, l’auditeur devra analyser le processus interne conduisant à la détermination des coûts de revient, il devra en apprécier la pertinence et la mise à jour. Il devra également avoir accès aux valeurs nettes de réalisation ou aux hypothèses ayant permis d’établir ces valeurs nettes de réalisation.

3.2.4. Les ventes, les autres produits et les créances La revue analytique porte sur l’évolution des facturations, sur le solde clients en fin d’exercice calculé en termes de crédit client : nombre de jours de chiffre d’affaires TTC que représente le solde clients en fin d’exercice. Les ratios les plus élevés peuvent faire l’objet d’investigations complémentaires. L’analyse peut être affinée en tenant compte des différentes familles de clients et en pondérant les résultats obtenus par la saisonnalité éventuelle. La revue analytique peut également être faite à partir de la balance auxiliaire clients en divisant le solde de chaque compte client par le total des mouvements débiteurs pour estimer la proportion que chaque solde client représente par rapport à ses facturations de l’année. L’auditeur doit également demander une « balance âgée » des comptes clients faisant ressortir toutes les facturations antérieures à un certain nombre de mois et non encore payées. Cette analyse peut lui permettre de contrôler les clients à provisionner, car considérés comme douteux, ainsi que les provisions pour risques à comptabiliser si le non-paiement du client s’explique par un litige portant sur le service effectué ou le bien livré. Les facturations doivent être suivies mensuellement et, tout particulièrement, juste avant et juste après la clôture. Certaines fortes variations de facturations peuvent s’expliquer par une mauvaise séparation des exercices. Si les facturations sont très élevées juste avant la clôture de l’exercice et qu’elles diminuent fortement ensuite cela peut signifier que l’entreprise a voulu accroître ses livraisons avant la fin de son exercice. Dans ce cas, l’auditeur devra s’assurer que toutes les livraisons facturées sur l’exercice correspondent bien à des livraisons effectuées avant la date de clôture. L’observation de retours élevés de produits ou de fortes fluctuations dans le niveau de ces retours peut indiquer le risque de litiges avec les clients ou que certaines ventes enregistrées sur l’exercice précédent soient fictives. L’auditeur doit également observer le montant des créances considérées comme irrécouvrables au cours de l’exercice. Un montant élevé peut indiquer un mauvais fonctionnement des procédures de crédit client et une relance inadéquate des créances clients impayées.

3.2.5. La paie : le personnel et les organismes sociaux Les fiches de paie permettent de calculer le montant de la rémunération nette à verser au salarié ainsi que le montant des diverses charges sociales (part salariale et part patronale) à verser aux organismes sociaux concernés. Elles sont établies à partir de trois types de renseignements : • le contrat de travail avec le salarié. Ce contrat précise la nature de la relation

contractuelle, le nombre d’heures normal de travail mensuel, la rémunération correspondant à ce nombre d’heures, ainsi que les divers avantages ou primes liés à la rémunération ; • la réglementation sociale et la convention collective du secteur d’activité. Elles précisent le montant des charges sociales tant salariales que patronales, en fonction de la nature du contrat de travail, et les conditions de rémunération des jours de maladie ou de congés ainsi que des heures effectuées en plus de l’horaire normal ; • le suivi des heures effectuées par chaque employé. Ce suivi permet de déterminer la réalisation éventuelle d’heures supplémentaires, mais il joue aussi un rôle fondamental pour le calcul des coûts de revient des produits, des services ou des activités, en permettant l’imputation des heures de main d’œuvre directes ou indirectes. Dans de nombreuses entreprises, la clé de répartition des autres charges indirectes est le coût de la main-d’œuvre directe ou les heures de main-d’œuvre directe. Une part importante des contrôles effectués par l’auditeur s’appuie sur la revue analytique des comptes de charges en étudiant l’évolution annuelle des charges, mais également l’évolution mensuelle. À court terme, les charges de personnel sont considérées comme des charges fixes, et l’auditeur ne doit pas observer de fortes fluctuations mensuelles. Les variations annuelles doivent être expliquées par les mouvements de personnel (embauches, licenciements, démissions, départs en retraite) et par les revalorisations de rémunération. Le contrôle des charges de personnel est spécifique pour trois raisons majeures : • la facturation est interne. Contrairement aux autres fournisseurs de biens et services, la facturation n’est pas établie par les fournisseurs, mais par l’entreprise utilisatrice. Le rapprochement entre des documents internes et des documents émanant de tiers n’est pas possible, l’auditeur ne peut pas recourir à la confirmation externe. C’est pourquoi l’auditeur doit s’appuyer sur les déclarations faites par l’entreprise aux organismes sociaux, car ces déclarations sont contrôlées et éventuellement recoupées avec d’autres bases d’information par les services administratifs fiscaux et sociaux ; • les relations personnelles sont fortes. Entre un fournisseur et l’entreprise, l’aspect relationnel peut lier le commercial du fournisseur à l’acheteur de l’entreprise. Mais ce ne sont pas ces mêmes collaborateurs qui enregistrent comptablement et qui règlent ou encaissent les factures. En revanche, en matière de rémunération du personnel, la collégialité étant plus élevée, il est nécessaire de prévoir des procédures de séparation des fonctions et de contrôle très strictes ; • les informations sont confidentielles. Pour éviter les problèmes d’accointances, et

surtout pour réduire les conflits internes liés aux différences de rémunération et éviter d’accroître les revendications salariales, les rémunérations individuelles sont souvent tenues secrètes. L’auditeur doit tenir compte de cet environnement qui ne facilite pas l’exercice de son contrôle. Il doit s’appuyer sur le test des procédures de contrôle interne et réaliser des rapprochements de fichiers ainsi que des tests ponctuels d’enregistrement comptable à partir des pièces justificatives. En plus des risques liés à l’enregistrement comptable, les risques principaux sont liés au versement de rémunérations à des salariés fictifs ou à la sur-rémunération de certains salariés. L’auditeur doit ainsi contrôler la liste des salariés émargeant sur les fichiers de rémunération pour s’assurer de leur existence physique au sein de l’entreprise et de la réalité de leur prestation.

3.2.6. Les impôts et taxes : l’État et les collectivités locales Tout comme les cotisations sociales, la plupart des taxes sont établies à partir des déclarations de l’entreprise. En cas d’audit légal des comptes, l’auditeur n’a pas à réaliser un contrôle approfondi des déclarations de l’entreprise. Il doit s’assurer, par un contrôle basé principalement sur la revue analytique avec les années antérieures, que l’évolution des charges est cohérente. Il doit rapprocher les charges enregistrées des avis d’imposition. En matière d’imposition des bénéfices, le risque pour l’auditeur porte sur l’enregistrement comptable de la charge d’impôt à payer, mais il porte également sur la possibilité d’un redressement fiscal lié à des inexactitudes dans les déclarations fiscales ou à des options non justifiées en matière de déductibilité de certaines transactions. Pour calculer son résultat fiscal, l’entreprise doit effectuer un certain nombre de retraitements liés aux provisions fiscalement non déductibles et, éventuellement, à certains frais généraux non déductibles. La non-déductibilité fiscale de ces frais peut signifier que les dépenses engagées ne l’ont pas été dans l’intérêt de l’entreprise. Si telle est la situation, l’auditeur doit être particulièrement vigilant puisqu’il s’agit d’un élément constitutif de l’abus de biens sociaux. Certaines options prises par l’entreprise sont susceptibles d’être contestées par l’administration fiscale. L’auditeur doit estimer la matérialité (l’aspect significatif) du risque fiscal encouru. En matière de consolidation, l’auditeur doit contrôler la situation fiscale latente telle qu’elle a été calculée par l’entreprise consolidante.

3.3. Vers une approche par les processus

L’approche par les cycles comptables offre de nombreux avantages. Elle permet de relier entre elles les écritures qui, dans les états financiers, se trouvent ventilées entre des états distincts. Par exemple, la cession d’une immobilisation corporelle ou incorporelle vient mouvementer des classes du bilan (à l’actif pour enregistrer la sortie du bien immobilisé et pour enregistrer l’entrée de trésorerie correspondante) et du compte de résultat (en produit pour le montant de la cession et en charge pour la valeur nette comptable de l’immobilisation). Le découpage par cycle évite les risques d’effectuer des travaux en double et permet de s’assurer que tous les éléments des états financiers ont bien été passés en revue. La limite majeure de cette approche par cycles est qu’elle tend à focaliser l’attention sur ce qui figure dans les comptes, c’est-à-dire sur le contrôle de la réalité des enregistrements comptables. Certes, le cycle clients-ventes ou le cycle fournisseursachats intègre des tests sur le risque de non-exhaustivité dans l’enregistrement des transactions, mais ces tests reposent généralement sur des circularisations, c’est-à-dire sur la probabilité qu’un tiers circularisé mentionne un solde de créances ou de dettes différent du montant figurant dans la comptabilité de l’entreprise. Si l’entreprise auditée s’assure du bon enregistrement des transactions lors des périodes d’audit, il est peu probable que l’auditeur arrive à identifier des anomalies significatives. Si l’auditeur souhaite réellement identifier les risques de non-exhaustivité, il doit nécessairement recourir à des informations extra-comptables. Or, le seul moyen pour l’auditeur d’accéder à cette compréhension extra-comptable est de s’intéresser aux processus qui structurent l’entreprise.

3.3.1. Comprendre les processus de l’entreprise Comprendre les processus d’une entreprise, c’est adopter le regard du contrôleur de gestion en partant de la demande client pour remonter à la demande d’approvisionnement en passant par toutes les étapes intermédiaires du processus de production. C’est rentrer dans la logique d’une approche par les activités6. Dans certains secteurs d’activité, l’information de gestion ne se trouve pas dans la comptabilité et celle-ci est quasiment inutile pour comprendre le fonctionnement de l’entreprise. L’auditeur, s’il souhaite avoir une approche pertinente des risques, doit s’appuyer sur des informations extra-comptables pour valider les comptes annuels. Il en est notamment ainsi pour la valorisation des stocks des entreprises industrielles. Pour le contrôle des charges directes de production, l’auditeur peut s’assurer de l’existence d’un suivi analytique cohérent et permanent des charges. Pour le contrôle des charges indirectes de production, l’essentiel du travail de l’auditeur sera d’estimer la marge d’erreur acceptable. Le travail de contrôle de la valorisation des stocks de produits repose en grande partie sur la revue analytique et l’étude de l’évolution des

coûts. La comptabilité de gestion par activité cherche, à travers une remise à plat des activités de l’entreprise, à déboucher sur une nouvelle modélisation des processus de consommations de ressources qui réclame peu de calculs de coûts, mais davantage de mesures de performance. L’analyse de l’entreprise par activité et par processus doit permettre d’évaluer le dirigeant sur ses choix stratégiques en disposant d’une mesure de la pertinence de ces choix pour chacune des activités étudiées. Pour l’auditeur, il s’agit d’un instrument précieux puisque l’analyse des activités, en mettant en évidence les activités déficitaires, souligne les zones de risque. Une activité apparaissant comme déficitaire peut l’être en raison d’une mauvaise performance de l’entreprise ou en raison d’une mauvaise appréhension des informations comptables. Dans le premier cas, l’auditeur doit examiner les conséquences potentielles sur l’entreprise ; dans le second cas, il doit contrôler non seulement les procédures de contrôle interne, mais également le contenu des différents comptes de la balance générale pour s’assurer que l’enregistrement comptable est exhaustif, réel et exact. Seule la compréhension des processus de l’entreprise peut permettre de distinguer les actifs clés pour la continuité d’exploitation de l’entreprise de ceux qui ne sont plus utilisables ou plus utilisés. La difficulté pour l’auditeur est de disposer de compétences qui lui permettront d’aller au-delà des états comptables pour rentrer dans les processus et les comprendre. Cela est particulièrement vrai dans les industries chimiques, où la valeur des stocks dépend de leur composition chimique, cela l’est également dans le vignoble, où les contenus (les vins) ne sont pas nécessairement conformes aux indications portées sur les contenants (les citernes, les fûts).

3.3.2. Le suivi des contrats à long terme dans les entreprises de BTP, de cinéma et de concessions de services publics Les contrats à long terme se caractérisent par un cycle long de production (puisque couvrant, le plus souvent, deux ou trois exercices comptables), par un produit spécifique défini par le client, et par une maîtrise du processus de production qui peut passer par la sous-traitance. De par leur activité, qui est très dépendante de l’état de leur carnet de commandes, les entreprises réalisant des contrats à long terme sont très sensibles au risque de sous-activité. L’audit de ces contrats pose de nombreuses difficultés, car il est souvent difficile de contrôler le rattachement des charges à un contrat donné. Il existe donc une comptabilité analytique qui répartit les charges (notamment les charges de structure) sur les différents contrats en fonction de diverses clés de répartition. Comme il est fréquent que ces contrats se chevauchent, la direction de l’entreprise peut lisser son résultat en

ajustant le montant des charges imputées aux contrats en-cours. Seule une étude approfondie des degrés d’avancement des contrats peut permettre d’identifier des sous ou des sur-imputations. Le principe général de détermination des résultats est de considérer une créance comme acquise (ce qui permet d’en tenir compte pour déterminer le résultat) dès lors que l’accord entre les parties a été réalisé sur la chose et sur le prix, même si la chose n’est pas livrée, ni le prix payé (article 1583 du Code civil). En matière de contrats à long terme, la difficulté de détermination des prévisions de résultat provient des aléas inhérents à la nature de l’activité : • aléas techniques : nature des terrains rencontrés dans les travaux de terrassement (BTP), réalisation d’une scène faisant intervenir des cascadeurs (cinéma) ; • aléas sociaux : mouvements de grève, mésentente entre les acteurs ; • aléas climatiques : intempéries interrompant la réalisation d’un chantier ou le tournage d’un film, catastrophe naturelle ou humaine mettant en cause la distribution d’eau (concessions de services publics) ; • aléas particuliers aux réalisations à l’étranger : tournage de certaines scènes d’un film en pays étranger, variation des cours de change, changement de gouvernement ; • aléas commerciaux : révision et actualisation des prix, travaux, scènes ou services supplémentaires, indemnisation de sujétions non prévisibles. En raison de ces aléas, l’élaboration d’une prévision s’appuie sur des hypothèses déterminées avec prudence et vraisemblance. L’auditeur doit donc disposer de compétences et d’informations élargies pour être à même de se prononcer sur la validité des résultats partiels retenus. Les caractéristiques juridiques des contrats à long terme permettent de déterminer qui, dans les acteurs parties prenantes à la réalisation du contrat, va supporter le ou les risques principaux. L’auditeur doit mesurer le risque de réalisation qui pèse sur l’entreprise principale qui met en œuvre le contrat à long terme. Chaque contrat étant spécifique, le risque doit être appréhendé à chaque fois de façon distincte en fonction des éléments particuliers au projet. Ceci peut conduire l’auditeur à remettre en question les prévisions de résultat ou à demander la constitution de provisions pour pertes à terminaison ou de provisions pour risques. Dans les contrats entre le client et l’entrepreneur, le risque peut être soit entièrement à la charge du client, soit au contraire entièrement à la charge de l’entrepreneur, soit encore partagé entre les deux acteurs. Le risque est assumé par le client quand le contrat prévoit que celui-ci rembourse à l’entrepreneur le montant des frais engagés pour la réalisation du contrat, majoré d’une quote-part de frais indirects et d’une marge de structure. Le risque d’exploitation est assuré par l’entrepreneur quand le client verse à

l’entrepreneur un montant indépendant des conditions de réalisation ou d’exploitation du contrat. Le risque d’exploitation est partagé quand il existe des conditions restrictives fonctions des résultats de la réalisation ou de l’exploitation du contrat.

Encadré 4.5 L’évaluation des risques sur les contrats à long terme Une entreprise de BTP a deux contrats à long terme en cours au 31/12. Le premier (nommé AA) est un contrat en régie. Le montant des dépenses remboursées par le maître de l’ouvrage s’élève à 43 500 k€ (milliers d’euros) pour l’exercice. Le second contrat (nommé BB) est un marché à prix global d’un montant total de 75 600 k€. Le montant des travaux en cours s’élève à 37 800 k€ et l’entrepreneur estime que le degré d’avancement du chantier est de 53 %. Pour l’auditeur les principaux risques, en dehors de ceux de défaillance des clients, sont : –que le montant des travaux en cours soit inexact, et en particulier que des dépenses afférentes au contrat BB aient été mises sur le compte du contrat AA, par exemple que la durée d’utilisation des gros matériels ait été majorée sur le chantier BB et minorée sur le contrat AA ou que du personnel ayant travaillé sur les deux chantiers ait été affecté uniquement sur le chantier AA ; – que le degré d’avancement du chantier BB soit inexact. En supposant que ces deux risques soient confirmés et que l’auditeur s’aperçoive que 2 300 k€ de dépenses imputées au chantier AA concernent le chantier BB et que le degré d’avancement de ce dernier est en fait de 48 %, l’auditeur devrait exiger la passation de deux provisions : –une provision pour charge pour couvrir la perte déjà réalisée dans le cadre de la méthode à l’avancement : 75 600 x 48 % - (37 800 + 2 300) = -3 812 k€ (la différence entre le chiffre d’affaires correspondant au degré d’avancement et le montant des dépenses engagées) ; –une provision pour risque pour couvrir le complément de perte non

encore réalisée : 75 600 - (37 800 +2 300) / 0,48 + 3 812 = -4 130 k€ (la différence entre le chiffre d’affaires attendu pour le contrat, la projection des dépenses déjà réalisées compte tenu du degré d’avancement et la provision déjà comptabilisée en provision pour charges). 1. Le courant actuel visant à favoriser la nomination de commissaires aux comptes pour les entités publiques, telles que les universités, ne concourt pas nécessairement à une meilleure efficience de ces organisations. En effet, les enjeux des entités publiques sont rarement des enjeux de présentation comptable mais plutôt des enjeux liés à l’utilisation des ressources, ce qui suppose une réelle transparence des décisions de gestion, aujourd’hui peu présente en raison de l’opacité du mélange de normes comptables publiques et privées. De surcroît, les normes comptables internationales sont peu pertinentes pour ces entités publiques car elles favorisent l’information comptable pour les investisseurs. Or, dans le cas de la France (et de la plupart des pays), les investisseurs financiers ne sont pas une partie prenante majeure des entités publiques. 2. ISA : International Standards on Auditing / NEP : Norme d’Exercice Professionnel 3. Pigé B. et Paper X. (2009), Normes comptables internationales et gouvernance des entreprises : le sens des normes IFRS, 2e édition, EMS. 4. Pigé B. (2008), Gouvernance, contrôle et audit des organisations, Economica. Au vu des performances de la Bourse depuis 2002, on peut considérer que cela porte également préjudice aux actionnaires : Stout L. (2012), The Shareholder Value Myth: How Putting Shareholders First Harms Investors , Corporations, and the Public, Berrett-Koehler Publishers. 5. Cf. le chapitre 4 de Pigé B. et Paper X. (2009), Normes comptables internationales et gouvernance des entreprises : le sens des normes IFRS, 2e édition, EMS. 6. Pigé B. (2012), La gestion stratégique des coûts – Du management des activités (ABC-ABM) au Lean management, EMS.

Chapitre 5. La normalisation du contrôle interne Dans son essence, le contrôle interne ne norme pas ; il s’assure que les normes (les standards) du produit (un bien ou un service) sont bien respectées. La norme ne porte donc pas sur le contrôle, mais sur le produit. Néanmoins, pour aboutir au produit désiré, l’entreprise doit mettre en œuvre un processus. Les démarches qualité ont largement démontré que la qualité d’un produit est une fonction directe de la qualité du processus qui a permis de le réaliser. Par exemple, la qualité d’un fruit dépend du mode de traitement des arbres, du mode de collecte et du mode de conservation. Le contrôle interne aura donc pour objet de s’assurer que le processus mis en œuvre est bien conforme aux normes. Il est tentant de voir l’information comme un produit. C’est d’ailleurs l’image qui est véhiculée dans nos sociétés contemporaines. L’information est un produit qui a un coût et elle est échangée sur des marchés avec pour résultante la formation d’un système de prix. Si l’information est un produit, elle peut être normée et son processus de production peut également être normé. Ainsi, pour l’information du public, les journalistes se doivent de respecter certains comportements, des normes formelles et informelles. Dans le domaine de l’expertise comptable, la production des états financiers est également perçue comme un produit. Compte tenu de son importance pour le développement des échanges commerciaux et financiers, ce produit fait l’objet de nombreuses normes. En France, le concept d’image fidèle a permis de synthétiser l’objectif recherché par la normalisation de l’information comptable. L’adoption des IAS/ IFRS par l’Union européenne, et la tentative de convergence (finalement avortée) avec les normes américaines, a privilégié une approche centrée sur les prix du marché et l’information financière et, par voie de conséquence, sur la pertinence et l’utilité de l’information comptable et financière pour les investisseurs financiers. Lors des scandales comptables et financiers du tournant des années 2000, les dirigeants ont souvent essayé d’invoquer le fait qu’ils ne savaient pas exactement ce qui était dans les comptes et que, d’une certaine manière, cela ne les concernait pas prioritairement, car leur but était de gérer leur entreprise et non de produire des états financiers. Ces autojustifications ont souvent reçu un accueil négatif. Nous souhaiterions expliquer pourquoi les dirigeants avaient raison sur le fond et tort sur la forme.

Sur le fond, le rôle d’un dirigeant est effectivement de gérer son entreprise. La production des états financiers n’est pas une raison d’être de l’entreprise, elle n’en est qu’un moyen : la nécessité de rendre des comptes pour s’assurer que le dirigeant gère bien l’entreprise dans l’intérêt de ses diverses parties prenantes ou de son mandant principal (actionnaires, État, coopérateurs, etc.). Par conséquent, il est légitime pour un dirigeant d’expliquer qu’il n’a pas le temps de suivre dans le détail la production des états financiers. Sur la forme, le dirigeant est incohérent. En effet, si les états financiers ne sont qu’un élément accessoire à la réalisation de l’objet social, ils ont pris depuis la fin des années 1990 une importance fondamentale dans l’évaluation de la performance des dirigeants d’entreprises cotées. L’augmentation exponentielle des rémunérations de ces dirigeants s’est appuyée sur le développement des rémunérations variables assises sur des indicateurs comptables ou boursiers (qui eux-mêmes dépendent indirectement des performances comptables et financières publiées). Il est donc difficile pour les dirigeants de prétendre qu’ils ne s’intéressent pas à la production des états financiers alors que ce sont ceux-ci qui vont conditionner l’évolution de leur rémunération. La loi Sarbanes Oxley de 2002 a exprimé cette exigence en imposant la reconnaissance explicite de la responsabilité du dirigeant dans la production des états financiers. Mais, cette loi, en consacrant l’évolution de nos sociétés et la place fondamentale des rémunérations dans la responsabilisation des dirigeants, a aussi sanctionné un état de fait aberrant : le dirigeant est responsable de la production des informations qui vont permettre de le rémunérer et éventuellement de le renvoyer de ses fonctions.

1. Les normes COSO La normalisation du contrôle interne n’est que la conséquence de la normalisation du processus d’audit. Cette inversion des ordres d’importance est représentative de l’évolution de nos sociétés où la communication tend à prendre la place sur la réalisation. Alors que le contrôle interne visait initialement à s’assurer qu’un processus spécifique permettait d’aboutir au produit souhaité, le contrôle interne normalisé tend désormais à s’assurer que la façon de faire est conforme aux normes. C’est la conformité qui s’impose aux processus. En 1992, le COSO (Committee of Sponsoring Organizations of the Treadway Commission) a publié un document devenu la référence en matière de contrôle interne et intitulé « Internal Control – Integrated Framework » (Contrôle interne – Cadre de référence). L’adoption de la loi Sarbanes Oxley aux États-Unis en 2002 (et, pour la France, la Loi de Sécurité Financière en 2003) a favorisé la diffusion de ce cadre de

référence en rendant obligatoire l’élaboration d’un rapport sur l’efficacité du contrôle interne en matière de reporting financier. En 2006, le COSO a publié un document complémentaire pour l’élaboration de ce rapport de contrôle interne dans les PME « Guidance for Smaller Public Companies Reporting on Internal Controls over Financial Reporting » ; en 2009, le COSO a publié un document sur la supervision des systèmes de contrôle interne « Guidance on Monitoring Internal Control Systems » ; et en 2013, le COSO a revu son système de référence pour y inclure les différentes évolutions intervenues depuis 1992. Dans le document de 2006 orienté vers le contrôle interne dans les PME, l’accent sur le reporting financier a été renforcé par rapport aux exigences sur le contrôle interne de l’exploitation. Il faut sans doute y voir les conséquences des fraudes comptables commises au tournant des années 2000. De plus, le COSO est marqué par un fort tropisme comptable dans la mesure où il délègue la rédaction de ses principaux documents aux grands réseaux d’audit internationaux (les « big four » élargis au cabinet Grant Thornton). Dans le document de 2013, l’environnement de contrôle est désormais focalisé sur les questions de gouvernance de l’entreprise. L’évaluation du risque de fraude est explicitement identifiée parmi les dix-sept principes retenus. L’approche du COSO permet de disposer d’un guide cohérent et quasiment exhaustif pour traiter les différents points des systèmes de contrôle interne. Néanmoins, alors que le COSO se situait initialement comme un outil pour s’assurer qu’aucun point significatif n’avait été omis, la tendance actuelle vise à utiliser le COSO comme référentiel de conformité. Avoir un système de contrôle interne calqué sur le modèle présenté par le COSO serait le gage d’une bonne maîtrise de l’organisation. Cela pose de nombreuses questions qui sont notamment : la légitimité du COSO pour imposer une vision universelle du contrôle interne ; la pertinence d’un modèle unique d’identification et d’évaluation des risques (même si ce modèle insiste sur la prise en compte des éléments spécifiques à chaque entreprise) ; la logique commerciale qui reste présente derrière le COSO (l‘accès au référentiel du COSO est payant et la diffusion des normes est strictement contrôlée et encadrée) ; la focalisation sur les risques et non sur les facteurs de risques ; etc. Néanmoins, nous nous appuyons sur ces principaux documents, ainsi que sur quelques autres publications du COSO pour mettre en évidence les normes sous-jacentes au contrôle interne. Ces normes occupent progressivement une place majeure dans la mise en œuvre d’un processus de contrôle interne, car, non seulement elles fournissent un guide précieux pour aider les dirigeants à implanter un système de contrôle interne qui permette de gérer effectivement les risques de l’entreprise, mais elles permettent aussi aux dirigeants de dégager leur responsabilité en s’appuyant sur la mise en place de normes reconnues et acceptées.

La démarche globale proposée par le COSO repose sur l’identification de cinq dimensions principales (l’environnement de contrôle, l’évaluation des risques, les activités de contrôle, l’information et la communication, le pilotage – anciennement supervision) qui couvrent les trois domaines de l’opérationnel (l’exploitation), du reporting (le mot financier a disparu) et de la conformité, et qui s’appliquent à toutes les activités et tous les départements de l’organisation (graphique 5.1).

Graphique 5.1 La démarche intégrée du COSO

Schéma adapté du Coso’s internal control – Integrated framework.

Les cinq dimensions principales mises en évidence par le COSO sont ensuite déclinées en 17 principes fondamentaux et 85 points d’attention. Dans la mesure où la démarche du COSO fait l’objet d’un copyright strictement appliqué, nous ne présenterons pas dans le détail les différentes normes du COSO.

1.1. L’environnement de contrôle Cette dimension intègre cinq principes : intégrité et éthique ; indépendance et expertise du conseil d’administration ; structures, pouvoirs et responsabilités (anciennement les principes : mode de management ; structure organisationnelle),

formation et fidélisation des collaborateurs (anciennement : politiques de ressources humaines ; engagement vers la compétence), responsabilisation (anciennement : exercice de l’autorité et de la responsabilité).

1.1.1. L’intégrité et l’éthique La mise en œuvre des valeurs d’intégrité et d’éthique passe par l’adoption de codes de conduite (ou de codes de déontologie) sur les pratiques de gestion acceptables, les conflits d’intérêts, ou les normes de comportement éthique des individus, que ce soit pour les employés de l’entreprise ou pour toutes les autres parties prenantes. Mais cela exige aussi de s’interroger sur la compatibilité des normes de comportement avec les autres valeurs de l‘entreprise (par exemple, le culte de la performance, la maximisation du profit ou l’application de l’adage « la fin justifie les moyens »). En France, à la suite des scandales intervenus autour de la gestion des contrats d’eau (certaines entreprises ont été accusées d’avoir financé les partis politiques en contrepartie de l’obtention de concessions de services publics), la quasi-totalité des entreprises intervenant dans ce secteur se sont dotées de codes d’éthique détaillant les actions autorisées ou interdites (dans certains cas cela peut concerner les pratiques de cadeaux d’affaires, ou de dépenses de missions et réceptions : repas d’affaires, transports, séminaires, etc.). De manière plus générale, avec les problématiques de développement durable, les délocalisations de certaines entreprises, les rémunérations excessives de certains dirigeants, le financement de partis politiques, la crise financière de 2008, etc., il existe une très forte pression de l‘opinion publique pour l’adoption par les entreprises (du moins celles ayant une visibilité auprès du grand public) de codes d’éthique. Les valeurs d’intégrité et d’éthique doivent non seulement s’appliquer aux employés, mais elles doivent aussi concerner les fournisseurs, les clients, les investisseurs, les créanciers, les concurrents et les auditeurs. Dans la grande distribution, la délocalisation des achats vers des productions asiatiques a parfois entraîné une moindre attention aux conditions sociales ou environnementales de réalisation des produits. Wal-Mart est ainsi régulièrement accusé de s’approvisionner au moindre coût auprès de fabricants peu soucieux du respect des conditions de travail de leurs employés ou ne mettant pas en œuvre les mesures de protection environnementale. De même, il y a une dizaine d’années Nike a été accusé de recourir indirectement au travail des enfants (dans les usines de sous-traitants) pour fabriquer ses chaussures. Ce type de comportements peut avoir des conséquences sur les consommateurs quand les produits délivrés présentent des défauts de fabrication (par exemple, les jouets contenant de la peinture au plomb ou les produits laitiers contenant des produits chimiques).

L’application des codes d’éthique est étroitement dépendante des autres valeurs en cours dans l’entreprise. Si celle-ci attache une grande importance à la réalisation des objectifs de court terme et met en œuvre des politiques très incitatives, il est possible que certains salariés ou sous-traitants soient incités à s’affranchir des règles éthiques affichées pour respecter les performances qui leur sont imposées. Il existe donc une étroite relation entre la mise en œuvre effective des codes d’éthique et les politiques de rémunération mises en place. En France, l’affaire Kerviel et de façon plus générale la crise financière et bancaire issue des subprimes ont montré qu’une pression très forte en faveur de résultats toujours plus élevés pouvait conduire certains acteurs à basculer vers des comportements risqués. Dans l’affaire Enron, il existait un code d’éthique de grande qualité. Malheureusement, les règles d’éthique mentionnées étaient considérées comme secondaires (au sein de l’entreprise) par rapport à l’obtention des résultats et des performances assignés. Chaque année, les employés les moins performants étaient licenciés. De même, les rares employés ayant mis en évidence des entorses au code d’éthique en vigueur ont été mutés vers des tâches moins gratifiantes. Le message véhiculé en interne était donc clairement que la performance prime sur l’éthique. Cette analyse est notamment formulée par Sherron Watkins qui a travaillé huit ans chez Enron après avoir été diplômée d’expertise comptable et avoir travaillé chez Arthur Andersen. Elle a travaillé sous la direction du directeur financier et a alerté le président du conseil d’administration d’Enron. La première réaction de ce dernier a été de la licencier, ce qu’il n’a pas fait par peur du scandale et de la révélation publique des montages comptables incriminés1.

1.1.2. L’indépendance et l’expertise du conseil d’administration Les responsables de la supervision doivent être compétents et faire preuve d’objectivité. Il s’agit des deux grandes qualités attendues des auditeurs ou des administrateurs dits indépendants. La compétence est la capacité à appréhender et à comprendre les risques auxquels l’entreprise fait face et la pertinence des mécanismes de contrôle qui sont appliqués. L’objectivité rejoint la notion d’indépendance, dans la mesure où il s’agit de la capacité à faire abstraction de son intérêt personnel. L’objectivité est une attitude personnelle, alors que l’indépendance est un concept en partie externe à la personne. On peut définir les critères de l’indépendance, mais les critères de l’objectivité sont davantage liés à l’éthique des comportements individuels. Les deux notions sont cependant voisines et se complètent. L’objectivité est plus aisée quand la personne n’a pas d’intérêt direct en jeu et, inversement, l’indépendance ne garantit pas nécessairement l’objectivité si la personne n’applique pas une éthique personnelle élevée.

Au cours des dernières années, le rôle essentiel des organes légaux d’administration des entreprises et de contrôle des dirigeants est réapparu sur le devant de la scène médiatique. De nombreuses affaires ont souligné les déficiences des administrateurs dans leur mission de contrôle. Dans certains cas, il est même apparu que le conseil d’administration était un organe entièrement dépendant de son président2. La supervision repose donc sur un engagement clair de la direction générale renforcé par une implication des organes de gouvernance. Elle doit être mise en œuvre par des responsables compétents et objectifs. Par un phénomène d’apprentissage, la supervision permet également d’améliorer le déroulement des processus opérationnels. L’implication de la direction générale et du conseil d’administration (notamment à travers son comité d‘audit) dans la supervision du contrôle interne est un facteur clé pour inciter les employés à prendre en compte les procédures de contrôle interne, à les respecter et à les appliquer. Dans le cas d’Enron, certains risques avaient été clairement identifiés, notamment le fait que le directeur financier puisse à la fois être juge et partie sur des opérations complexes de déconsolidation. Le conseil d‘administration avait considéré que c’était aux administrateurs membres du comité d’audit de s’assurer de la mise en place effective des contrôles et de leur suivi. Le comité d’audit s’était lui-même reposé sur les déclarations du directeur général et du directeur financier sur l’adéquation des contrôles mis en place par rapport aux risques identifiés. Les administrateurs n’avaient donc pas engagé d’actions spécifiques pour s’assurer que non seulement les contrôles prévus avaient été mis en place, mais aussi, et surtout qu’ils étaient appliqués. Une enquête de leur part aurait rapidement mis en évidence ce que les principaux membres de la direction financière savaient, à savoir que le directeur financier était souvent en position d’arbitre, alors qu’il bénéficiait directement de certaines transactions par sa position au sein des entités ad hoc qui servaient de support aux opérations de déconsolidation (les SPE : special purpose entities). Le conseil d’administration est normalement chargé de s’assurer que les directeurs généraux ont le contrôle de l’entreprise et qu’ils ont mis en place les procédures de contrôle interne nécessaires à la protection des actifs et à la poursuite de l’exploitation. Dans le cas d’Enron, comme dans le cas de nombreuses sociétés, les administrateurs avaient été choisis par la direction générale et, bien qu’ils aient (ou qu’ils aient eu) tous des situations importantes dans le monde des affaires, dans le monde académique, ou dans la sphère gouvernementale, aucun d’entre eux n’était réellement prêt à prendre le risque d’une confrontation avec le président du conseil ou le directeur général. On peut d’ailleurs supposer que c’était une des raisons qui avait présidé à leur choix, au-delà des postes occupés. Une thèse réalisée en France3 sur le conseil d’administration d’un grand groupe français coté a ainsi montré que seul un administrateur exigeait d’avoir

réellement accès au fond des dossiers et d’en discuter les tenants et les aboutissants. La plupart des autres administrateurs se contentaient d’approuver ou de s’engager dans des discussions ne soulevant pas de problèmes majeurs. Ce constat n’est pas en soi tellement surprenant. Il est propre à tout conseil où la cooptation devient la règle. Le rôle du conseil et du comité d’audit a été renforcé au cours des dernières années, car l’accroissement des incitations accordées aux dirigeants a accru l’incitation sinon à la fraude du moins à la présentation des comptes dans un sens favorable aux intérêts des dirigeants, et ce, au détriment de la représentation fidèle des phénomènes économiques sous-jacents. Le système de contrôle interne doit donc prévoir une supervision par les cadres dirigeants des risques liés à l’exploitation ou au comportement des employés. En revanche, si des risques sont liés aux actions ou aux décisions des dirigeants, ces risques ne peuvent pas être contrôlés par la structure hiérarchique de l’entreprise. Ils doivent être remontés au niveau du comité d’audit ou du conseil d’administration. L’indépendance des administrateurs vis-à-vis des dirigeants est soulignée comme étant quasiment le facteur le plus important, surtout quand des questions difficiles, ou touchant à la probité, sont soulevées. La loi Sarbanes Oxley de 2002 a également très fortement accentué cette exigence pour les membres du comité d’audit. Selon la section 301 de cette loi : « Chaque membre du comité d’audit doit être un membre du conseil d’administration et doit être indépendant. Pour être considéré comme indépendant, un administrateur ne doit pas (i) accepter d’indemnités de conseil ou de toute autre nature (en dehors des jetons de présence) ; (ii) être affilié à l’entité ou à une de ses filiales ». La qualité de l’environnement de contrôle dépend également de la fréquence des réunions entre le directeur financier, les auditeurs internes et les auditeurs externes. Le contrôle interne ne peut pas s’analyser indépendamment des contrôles externes existants. Il est au contraire nécessaire de favoriser une coopération avec les différents mécanismes d’audit pour limiter les contrôles redondants et s’assurer que les risques essentiels ont tous été audités. La fréquence des réunions du conseil d’administration et des divers comités d’administrateurs, ainsi que la nature des informations qui sont fournies, doivent permettre une supervision des objectifs assignés aux dirigeants, des stratégies mises en œuvre, de la situation financière, des résultats opérationnels et des accords stratégiques. De même, le comité d’audit ou le conseil d’administration doivent être consultés ou informés dans des délais restreints quand des informations sensibles sont diffusées ou que des investigations sont lancées sur des possibilités de fraudes, de malversations, ou

même de comportements inadaptés. Dans l’affaire Kerviel, le PDG de la Société Générale a réuni son conseil dans la semaine suivant la découverte des positions non autorisées. De même, il est fréquent (et souhaitable) que le conseil d’administration soit réuni quand l’entreprise est l’objet de manœuvres autour de son capital.

1.1.3. La mise en place de structures, de pouvoirs et de responsabilités Si les deux premiers principes de l’environnement de contrôle ont remis l’accent sur les dimensions humaines et éthiques, le rôle du contrôle interne est principalement de mettre en place les structures qui évitent de placer les personnes en situation de fragilité ou de tentation. Les grands principes du contrôle interne (chapitre 1 de cet ouvrage) sont destinés à permettre aux dirigeants de l’organisation de se focaliser sur la gestion des risques stratégiques, et non de devoir en permanence contrôler les risques de fraude ou d’erreur. La description des postes de travail ou des tâches affectées à un emploi particulier contribue à la réduction des risques. Dans l’affaire Kerviel, une des raisons expliquant la découverte tardive des agissements non autorisés était le détournement par le courtier des procédures de contrôle par des opérations excédant en partie ses attributions précises. Non seulement il est nécessaire que la définition des attributions permette de déterminer qui est responsable de quoi, mais en plus il faut que les individus en soient conscients et qu’ils assument les responsabilités qui leur sont confiées. Il faut donc que ces responsabilités soient explicitées et ne reposent pas uniquement sur des consensus apparents. La structure organisationnelle doit aussi fournir les informations nécessaires et pertinentes pour la gestion et le contrôle des activités. Dans une approche du type ABCABM (activity based costing, activity based management : « gestion des coûts par activités » et « management par activités »)4, l’environnement de contrôle facilite la structuration et la transmission de l‘information utile pour l’évaluation des consommations de ressources et l’appréciation des processus de création de valeur.

1.1.4. L’engagement vers la compétence : la formation et la fidélisation des collaborateurs L’exigence de responsabilité suppose la capacité à remplir ses fonctions, c’est-à-dire l’adéquation des connaissances et des expériences professionnelles aux responsabilités assumées. Si de nombreuses entreprises privilégient l’expérience de leurs dirigeants en favorisant la création d’un vivier interne de cadres dirigeants (Air Liquide est un représentant de ce type d’entreprise où la succession des dirigeants est préparée et où ces derniers ont assumé des responsabilités variées au sein de l’entreprise avant d’être

promus), d’autres entreprises recourent plus volontiers à des recrutements externes, parfois surprenants au regard des critères de formation et d’expérience professionnelles. C’est souvent le cas dans les entreprises semi-publiques (EDF par exemple) ou dans les entreprises où l’État détient un fort moyen de pression (le groupe Caisse d’épargne – Banque populaire). Cela ne signifie pas nécessairement que les dirigeants ainsi nommés n’apporteront pas une vision plus neuve et parfois revigorante pour ces entreprises, mais, du point de vue de l’environnement de contrôle interne, cela peut accroître les risques. L’environnement de contrôle est étroitement dépendant de la cohérence entre les principes affichés et les politiques de gestion des employés réellement à l’œuvre au sein des entreprises. De surcroît, le respect des procédures ne pourra être assuré que si les employés se sentent impliqués dans leur entreprise et se sentent également respectés. En contrepartie, il est nécessaire de s’assurer que les personnes affectées à des tâches ou à des responsabilités précises disposent des compétences ou des qualités éthiques requises pour assurer leurs fonctions sans faire encourir de risques démesurés à l’entreprise. L’analyse des connaissances ou des aptitudes nécessaires pour accomplir un travail de façon adéquate peut aussi contribuer à une réduction des risques. Une des problématiques de la sécurité dans les centrales nucléaires est la gestion de la main d’œuvre temporaire. En effet, si celle-ci permet de répondre à des pics d’activité, elle ne dispose que rarement du savoir-faire et de l’expérience des employés permanents. Le risque d’une manœuvre malencontreuse est ainsi accru quand de telles manœuvres sont confiées à des personnes peu formées aux différents risques. Les politiques et les procédures d’embauche, de formation, de promotion et de rémunération des employés doivent exister et faire l’objet d’un minimum de formalisation. L’intérêt d’une telle formalisation réside dans la sécurité apportée au salarié. En effet, un employé soumis en permanence à l’arbitraire de son responsable hiérarchique se sentira peu tenu par les procédures de contrôle interne en vigueur. La formalisation des politiques de gestion du personnel peut également faire émerger des déficiences dans les pratiques de l‘entreprise. Des employés peu formés, ne disposant d’aucune perspective de promotion ou de carrière et susceptibles d’être licenciés aux premières difficultés conjoncturelles, n’adhéreront que très faiblement à la culture et à la stratégie de l’entreprise. Il est donc vraisemblable que les procédures en vigueur seront peu suivies ou ne seront appliquées qu’à la lettre et non dans l’esprit. L’adéquation des compétences et des expériences professionnelles des candidats à l’embauche aux tâches prévues doit également intégrer l’examen des activités antérieures qui pourraient s’avérer inacceptables pour l’entité. Il peut s’agir de

personnes ayant eu dans le passé des comportements contraires à l’éthique. C’est ainsi que les fonctions de commissaire aux comptes ou d’expert-comptable sont interdites aux personnes ayant une inscription à leur casier judiciaire. Mais cette incompatibilité peut également être liée aux fonctions occupées précédemment. Dans le domaine bancaire, s’il est souhaitable que les employés assurant le contrôle et l’enregistrement des opérations de marché (le back-office) aient une connaissance des activités de marchés (par exemple, par le biais de périodes préalables d’exercice au sein de ces activités), il n’est pas forcément souhaitable que les employés assurant de façon permanente des activités de courtage ou d’arbitrage sur les marchés aient une connaissance approfondie des mécanismes de contrôle auxquels ils sont soumis. Ainsi, dans l’affaire Kerviel, le trader a pu réaliser des opérations de camouflage des transactions non autorisées grâce à sa connaissance des mécanismes de contrôle (il avait exercé les activités de contrôle avant d’obtenir un poste d’arbitragiste sur les indices boursiers). Les critères de promotion ou de licenciement des employés et les méthodes d’évaluation de la performance en vigueur doivent être cohérents avec le code de conduite ou le code d’éthique de l’entreprise. Dans le cas d’Enron, comme nous l’avons souligné précédemment, l’évaluation de la performance primait le respect des principes éthiques affichés (ces derniers avaient surtout une dimension de communication vis-àvis des tiers), et le choix des promotions ou des licenciements s’effectuait sur la capacité à tenir ses objectifs opérationnels, y compris au prix d’entorses aux valeurs affichées. Il est donc souhaitable que les mécanismes d’évaluation des employés intègrent le respect des codes d’éthique et de conduite. Dans le cas contraire, ces codes ne sont plus que pure apparence.

1.1.5. La responsabilisation Il existe une interaction complexe entre la personnalité des dirigeants, l’histoire de l’entreprise, la culture d’entreprise qui s’est formée petit à petit, et l’appétence ou l’aversion au risque dans la prise de décision. Le mode de management touche aussi à la nature et à la fréquence des interactions entre les dirigeants et les cadres opérationnels : les dirigeants sont-ils isolés des opérations courantes ou participent-ils régulièrement aux réunions des différents niveaux opérationnels ? Dans le cas d‘une entreprise présentant une dispersion géographique, les modalités de participation des dirigeants aux processus de prise de décision et de mise en œuvre des décisions s’avèrent fondamentales. De nombreux fondateurs d’entreprises insistent sur la nécessité de cette présence sur le terrain pour écouter les consommateurs, les salariés, identifier les anomalies, recueillir les suggestions. L’inaccessibilité des dirigeants peut favoriser l’émergence de comportements à risque au sein des unités opérationnelles.

La répartition des responsabilités, et les délégations de pouvoir qui les accompagnent doivent être cohérentes avec les objectifs de l’entreprise, les fonctions opérationnelles et les exigences de régulation. Ceci signifie que l’organisation hiérarchique de l’entreprise doit correspondre à une réalité opérationnelle. Dans son étude des manufactures des tabacs, Crozier5 a montré que la réalité des pouvoirs informels d’autorité pouvait différer de la structure hiérarchique formelle, quand des acteurs détiennent un pouvoir spécifique dû à leurs compétences ou à une position stratégique au sein des fonctions clés de l’entreprise. L’environnement de contrôle facilite donc l’exercice du contrôle interne quand les responsabilités correspondent à la répartition stratégique des activités et des processus au sein de l’entreprise. C’est d’ailleurs une des difficultés de la démarche de gestion par activités, puisque celle-ci suppose une appréhension de l’entreprise différente de l’appréhension traditionnelle en termes de services et de fonctions hiérarchiques. Dans la gestion par activités et par processus, le rôle des responsabilités transversales est renforcé (qu’il s’agisse de la responsabilité d’un processus, d’un projet, ou tout simplement de la coordination d’activités soumises à des autorités hiérarchiques directes distinctes). Cette cohérence des responsabilités et fonctions est particulièrement critique dans le traitement des données ou la mise à jour des paramétrages ou des modifications de l’architecture informatique. La place occupée par les systèmes d’information et de communication exige une attention toute particulière sur la cohérence entre le pouvoir détenu par certains opérateurs informatiques et la responsabilité qui leur est reconnue. Les fonctions support de traitement des données et d’enregistrement des transactions constituent non seulement des sources d’information pour l’élaboration, la mise en œuvre et le contrôle des décisions stratégiques, mais elles s’avèrent également centrales pour garantir la mise en œuvre effective du contrôle interne et pour rendre effective la responsabilisation des employés. Il est donc nécessaire de s’assurer que ces fonctions bénéficient des ressources pour assurer les missions qui leur sont confiées. Les procédures et les normes de contrôle doivent être adaptées aux structures hiérarchiques de l’entreprise. La supervision hiérarchique constituant un des principaux mécanismes de contrôle interne, il est impératif de s’assurer non seulement de la cohérence entre le découpage hiérarchique et la mise en place des autres procédures de contrôle, mais aussi de s’assurer que la défaillance éventuelle d’un des maillons de l’autorité hiérarchique pourra être, sinon palliée, du moins contenue dans l’étendue des dégâts potentiels. Dans l’affaire Kerviel à la Société Générale, comme dans d’autres affaires intervenues dans d’autres banques (par exemple, la faillite de la banque Barings il y a une vingtaine d’années), le dépassement des engagements autorisés par un

courtier a été rendu possible par une déficience de la chaîne hiérarchique de contrôle, qui s’est limitée à des contrôles formels et à des réponses formelles aux anomalies relevées, sans jamais aller au-delà du simple contrôle des apparences. Une façon de réduire ces risques consiste à formaliser la description du contenu des postes et des tâches à effectuer pour chaque poste de travail. Il est alors plus aisé de s’assurer qu’un employé n’excède pas ses prérogatives. Si une telle solution, en apparence évidente, ne s’impose pas nécessairement, c’est qu’elle entraîne des coûts cachés en termes de motivation des individus et d’innovation. Dans certaines activités (et c’est notamment le cas du trading – la négociation de contrats financiers sur des marchés répondant à des demandes complexes de couverture des risques), la formalisation à outrance des tâches de chaque employé induit une incapacité à innover et à se démarquer de la concurrence pour offrir au client le produit qui répondra exactement à ses attentes.

1.2. L’évaluation des risques Cette dimension intègre quatre principes (contre trois antérieurement) : la spécification (détermination) des objectifs, l’identification et l’analyse des risques, l’évaluation des risques de fraude, l’identification et l’évaluation du changement. La prise en compte explicite de la fraude est désormais devenue un principe à part entière.

1.2.1. La spécification des objectifs Les objectifs généraux de l’entreprise doivent être suffisamment synthétiques pour donner une vision d’ensemble de la situation à laquelle l’entreprise aspire, et suffisamment spécifiques pour prendre en compte les spécificités de l’entreprise, son histoire, ses ressources disponibles, et son secteur d’activité. Ils doivent également permettre à l’entreprise d’arbitrer quand des opportunités alternatives se présentent. La communication des objectifs généraux doit garantir leur mise en œuvre effective. Les objectifs de l’entreprise peuvent faire l’objet d’une formalisation très poussée. Dans de nombreuses entreprises du CAC 40, les dirigeants mettent en place des plans stratégiques dénommés Cap 2020 ou Objectif 2023, où ils fixent des objectifs quantifiés : l’augmentation de la part de marché de 3 points sur certaines lignes de produits, la croissance du chiffre d’affaires de 30 %, l’augmentation du taux de marge de 1 point, la rentabilité des capitaux propres supérieure à 10 %, etc.). Ces plans sont souvent à vocation à la fois externe et interne. En externe, ils facilitent et structurent la communication de l’entreprise. En interne, ils constituent les éléments stratégiques auxquels les employés sont censés adhérer. Mais les objectifs de l’entreprise peuvent aussi être très informels et porter sur la

pérennité de l’entreprise, sa capacité à s’adapter à un environnement changeant, à une conjoncture difficile. Très souvent, les PME maintiennent un certain flou autour des objectifs que les dirigeants souhaitent atteindre. Dans une conjoncture très fluctuante, il peut aussi s’agir d’un principe de prudence visant à éviter de s’engager sur des objectifs qui, de toute façon, s’avéreront vraisemblablement périmés du fait de facteurs structurels ou conjoncturels indépendants de l’entreprise. Pour des organisations non commerciales, la formalisation des objectifs peut s’avérer essentielle pour assurer l’adhésion des diverses parties prenantes au projet de l’organisation. Dans tous les cas, il existe une articulation entre les objectifs généraux de l’entreprise et les objectifs spécifiques à chaque activité ou service. Le passage des objectifs généraux aux objectifs spécifiques à chaque centre d’activité exige non seulement que ces derniers soient en phase avec les premiers, mais aussi (ce qui est nettement plus complexe) qu’ils soient cohérents avec les objectifs des autres centres d’activité. En effet, il est fréquent que des objectifs soient assignés à un centre d’activité sans tenir compte des répercussions de ces objectifs sur les autres centres. Par exemple, si une entreprise est confrontée à la nécessité de réduire ses coûts de fonctionnement pour s’adapter à une chute de ses revenus, l’objectif assigné à un service d’entretien peut être la minimisation de ses coûts de fonctionnement. Comme un service d’entretien ne supporte pas la conséquence de la réduction de ses activités, ce sont les centres opérationnels (qui dépendent de ses interventions) qui en subissent les conséquences, puisque la fréquence des pannes ou des dysfonctionnements est susceptible de s’accroître. De même, un service commercial peut chercher à maximiser le carnet de commandes de l’entreprise sans se soucier de la difficulté pour les services de production à répondre à des commandes parfois complexes ou peu rémunératrices.

1.2.2. L’identification et l’analyse des risques La performance de l’entreprise peut être compromise par des facteurs, internes ou externes, qui affectent les objectifs explicites ou implicites. Au cours de la crise financière de 2008 (particulièrement pendant les mois de septembre et octobre 2008), des banques (notamment la banque américaine Lehman Brothers) ont fait faillite, car elles n’avaient pas suffisamment anticipé le risque de perte de confiance et la possibilité de ne plus avoir accès au marché interbancaire pour couvrir leurs besoins de financement quotidiens. Avant cette crise, le risque d’illiquidité de certains marchés financiers apparaissait purement théorique. Lorsque les risques se sont matérialisés, de nombreux établissements financiers se sont trouvés démunis face à une crise inédite (qui ne trouve un parallèle que dans la crise de 1929). Pour évaluer ces risques potentiels, toutes les interactions significatives doivent être considérées, qu’elles portent sur des biens, des services ou des flux d’information. Le

chantage exercé par la Russie sur l’Ukraine sur les livraisons de gaz entre 2006 et 2009 a eu non seulement des conséquences pour les populations des États riverains, mais il a également pu contraindre certaines entreprises à suspendre leur production. De même, la flambée des prix du pétrole en 2007-2008 a considérablement modifié les rapports de force entre des sources d’énergie concurrentes. Par conséquent, le processus d’évaluation des risques doit être un perpétuel recommencement et il doit être intégré au processus de planification. Il doit porter tant sur les risques généraux de l’entreprise que sur les risques spécifiques à chaque activité. Au niveau de l’entreprise, les risques peuvent émerger de multiples facteurs. Les développements technologiques peuvent rendre obsolètes certains processus. Il en est de même pour les évolutions des habitudes des consommateurs, ou les changements de mode. La concurrence entre les entreprises (du même secteur d’activité ou de secteurs d’activités voisins) peut remettre en cause des marchés. La mise en place d’une nouvelle législation ou de réglementations plus contraignantes (ou parfois plus laxistes) peut affecter la rentabilité de productions locales. Les catastrophes naturelles peuvent interrompre des processus de production ou d’approvisionnement. Il est souvent nécessaire de procéder séparément à l’identification des risques potentiels et à l’estimation de leur probabilité de réalisation. Un risque récurrent peut faire l’objet d’une procédure standardisée. Inversement, un risque exceptionnel, mais d’un impact très important, doit remonter immédiatement à la direction générale.

1.2.3. L’évaluation des risques de fraude À la suite de l’affaire Kerviel (2008), la ministre de l’Économie de l’époque, Christine Lagarde (présidente du FMI Fonds Monétaire International depuis 2011), a remis un rapport qui propose que le suivi du risque de fraude interne soit explicitement intégré dans la réglementation. Dans le référentiel 2013 du COSO, c’est chose faite. Le paradoxe est que le système conçu initialement par le COSO était justement destiné à lutter contre les erreurs, mais aussi et surtout contre la fraude. Alors que c’était l’ensemble du système de contrôle interne qui était tendu vers la lutte contre la fraude, le nouveau référentiel éprouve le besoin de matérialiser cet objectif dans un principe particulier. Mais, d’une certaine manière, ce risque de fraude se trouve alors ravalé au rang des autres risques que sont les risques climatiques, terroristes, sociaux, etc. Ce point est symptomatique de l’évolution normative. Parce que la pression sur l‘innovation et la recherche du profit conduisent sans arrêt à chercher de nouvelles formes d’optimisation qui se trouvent parfois à la frontière du droit, du légal et de l’interdit, la norme cherche sans cesse à devenir plus précise, à mieux faire apparaître

la frontière entre ce qui est permis et ce qui est défendu, à faire disparaître les zones d’ombre. Mais, du même coup, cette vision technicienne des normes entraîne une vision manichéenne du monde. Le respect des normes n’est plus alors un enjeu de maîtrise de l’organisation, d’inscription dans la longue durée, mais un enjeu de court terme : ne pas apparaître comme ayant enfreint la légalité et comme faisant partie du clan du mal. On a ainsi ce paradoxe, particulièrement visible dans le domaine financier, que les banques communiquent sur leur attention à leurs clients, sur leur engagement dans le développement durable et que, simultanément, elles développent à outrance les activités d’évasion fiscale. Leur comportement serait éthique parce qu’il ne serait pas interdit. Il s’agit là d’une conception éthique singulièrement étriquée. Mais, inversement, la banque qui refuse de s’engager dans des systèmes d’optimisation fiscale se trouve confrontée à une rentabilité plus faible et à une plus grande pression des marchés financiers. La course à la performance semble justifier l’entorse à des principes éthiques pourtant considérés comme essentiels pour la vie en société.

1.2.4. L’identification et l’évaluation du changement Pour saisir pleinement les opportunités liées au changement, il est préférable d’avoir mis en place un processus d’identification des facteurs de changement et d’avoir anticipé sur les processus ou les activités à modifier pour s’y adapter. Cette même capacité à tirer profit du changement est souvent le meilleur moyen de réduire les risques liés au changement. Les mécanismes que l’entreprise devrait mettre en place pour anticiper le changement doivent permettre d’éviter les problèmes ou d’en tirer parti. L’essor du concept de développement durable en est un bon exemple. Chaque entreprise devrait s’interroger sur son attitude face aux conséquences de ce concept. L’entreprise doit passer en revue les réponses qu’elle peut apporter aux évolutions attendues (probables ou possibles) pour déterminer les réponses compatibles avec sa structure actuelle, son organisation, ses forces et ses faiblesses. Les éléments dont elle doit tenir compte sont notamment : l’environnement de production, le recours à de nouveaux employés non formés aux pratiques spécifiques de l’entreprise, l’adoption de nouveaux systèmes de gestion de l’information ou leur mise à jour, la rapidité de la croissance, l’arrivée de nouvelles technologies, le lancement de nouvelles lignes de produits ou d’activités, la mise en œuvre de restructurations (fermeture d’établissements, d’usines, de boutiques), le développement à l’étranger.

1.3. Les activités de contrôle Les activités de contrôle correspondent à trois principes : la sélection et le développement des contrôles ; les contrôles sur la technologie informatique ; les règles

et procédures.

1.3.1. La sélection et le développement des activités de contrôle Puisque chaque entreprise poursuit ses propres objectifs et met en œuvre sa propre stratégie, les activités de contrôle interne seront nécessairement distinctes selon chaque entreprise. Parmi les facteurs à prendre en compte pour concevoir le système de contrôle interne, il faudra ainsi inclure les facteurs suivants : • la capacité et la faculté de jugement des dirigeants de l’entreprise. Si ceux-ci sont capables de prendre du recul par rapport à leur entreprise, ils seront plus à même d’identifier les risques auxquels l’entreprise est soumise et ils auront une démarche plus proactive que réactive ; • le secteur d’activité et l’environnement dans lequel l’entreprise exerce. Certains secteurs d’activité sont traditionnellement plus soumis à des risques (par exemple, le travail non déclaré dans le bâtiment, les travaux ménagers ou agricoles). L’environnement géographique peut également générer des risques particuliers (ouragans, inondations, risques de pollution ou d’explosion, etc.) ; • la complexité, la nature et l’horizon de l’entreprise. Une entreprise sur un secteur en déclin, et qui n’arrive pas à se diversifier vers des voies de développement, sera confrontée à des risques différents de ceux d‘une entreprise ayant développé des produits innovants et ayant des difficultés à suivre la demande qui lui est adressée ; • la dispersion géographique des employés et des actifs. Cet élément est souvent insuffisamment pris en compte par les PME désireuses de se développer à l’étranger ou de délocaliser certaines activités de production, de logistique ou de conception. La dispersion des sites entraîne nécessairement un accroissement des coûts de contrôle et de coordination ; • la technologie mise en œuvre et la sophistication des méthodes de traitement de l’information. Le recours à des méthodes technologiquement avancées ou très sophistiquées peut être un facteur de réduction des risques (quand cela permet le développement de mécanismes de contrôle simultanés) ou d’accroissement des risques (quand l’entreprise devient plus dépendante du bon fonctionnement d’une machine ou d’une application informatique).

1.3.2. Les contrôles sur la technologie informatique Les contrôles des systèmes d’information peuvent être généraux ou spécifiques à une application informatique. La cohérence entre les différents mécanismes de contrôle et la prise en compte des interactions possibles constituent des enjeux majeurs pour la performance et la sécurité des systèmes d’information. Les contrôles généraux recouvrent quatre grands domaines de risques. Le premier

concerne les centres informatiques. Ceux-ci contiennent les serveurs et les principales applications communes à l’entreprise ou au département concerné. Les contrôles portent sur la définition des fonctions, sur le respect des plannings (qu’il s’agisse des opérations de maintenance ou des traitements informatiques récurrents), sur le contrôle des actions des opérateurs, sur les procédures de sauvegarde et de recouvrement en cas d’incident informatique, et sur les processus de réaction face à des catastrophes. Le second domaine de risques est lié aux logiciels. Les contrôles doivent couvrir l’acquisition, l’implantation, le paramétrage et la maintenance des logiciels. Ces logiciels comprennent les systèmes d’exploitation, les gestionnaires de bases de données, les logiciels de gestion des communications, les logiciels de sécurité (par exemple, ceux qui gèrent les procédures de connexion informatique, de suivi des accès aux applications, d’autorisation) et tous les logiciels bureautiques. Avec la standardisation des logiciels, la diffusion de certaines applications s’est accélérée de façon parfois anarchique. Ainsi, les logiciels bureautiques, qui peuvent permettre des gains de productivité, sont aussi source de risques quand chaque opérateur, ou chaque service se met à développer ses propres applications, ou ses propres tableaux de bord, sans concertation avec les autres outils logiciels existant dans l’entreprise. Le risque est double. D’une part, cela entraîne un gaspillage des ressources de l’entreprise, dans la mesure où les mêmes applications sont développées plusieurs fois avec de légères variantes. Mais, d’autre part, cela entraîne aussi le risque d’avoir des indicateurs apparemment issus de sources communes, mais calculés différemment et, par conséquent, pouvant conduire à des prises de décision conflictuelles. L’essor des logiciels « libres », c’est-à-dire ne donnant pas lieu au versement de redevances et reposant sur un processus d’amélioration permanente par les utilisateurs, peut renforcer les enjeux de gestion des logiciels dans la mesure où leur mise en place n’est pas synonyme d’une commande et d’une facturation. Il faut donc définir des procédures de contrôles alternatives aux seuls contrôles comptables. Le troisième domaine porte sur la sécurité des accès. Il est nécessaire de permettre un accès des employés aux applications dont ils ont besoin pour remplir efficacement leurs fonctions et de limiter ces accès pour éviter des mises à jour inopportunes et éviter que des informations confidentielles ne soient diffusées sans autorisation hiérarchique. Les pratiques permettant d’accorder ou de limiter les accès sont très diverses. Il peut s’agir de codes d’identification, de mots de passe, voire plus récemment de données biométriques. Les accès peuvent être permanents ou limités dans le temps et dans l’espace (en restreignant l’accès pour certaines applications à des postes informatiques dûment identifiés).

L’essor des réseaux Internet et Intranet a considérablement accru l’importance de cette problématique, puisque de plus en plus de salariés effectuent certaines tâches informatiques en dehors de leurs lieux de travail, que ce soit dans un moyen de transport, chez un client, à l‘hôtel ou à leur domicile. Dans le domaine universitaire, la plupart des recherches bibliographiques sont désormais réalisées par le moyen de bases de données électroniques où l’utilisateur peut avoir accès aux articles souhaités par une recherche sur des mots clés. Cet accès est normalement obtenu en contrepartie du versement d’une redevance. La difficulté principale pour le gestionnaire des bases de données documentaires est d’éviter que l’accès vendu à une institution ne soit ensuite diffusé à tous les utilisateurs intéressés. On retrouve alors une problématique de contrôle interne particulièrement intéressante à étudier où la qualité des processus mis en œuvre va également dépendre de la qualité du contrôle interne en vigueur chez le client (en l’occurrence les bibliothèques ou les établissements d’enseignement supérieur). Le dernier domaine de risques est lié au développement des systèmes d’information. Dans une économie où la rapidité des échanges d’information, la qualité des informations fournies et la sécurité des transactions sont des attributs de création de valeur, il est nécessaire de définir une méthodologie pour les développements informatiques. Cette méthodologie doit permettre de maîtriser les ressources consommées (les coûts) tout en s’assurant que les ressources mises en œuvre (qu’il s’agisse des acquisitions de matériels ou de logiciels, ou de la qualification des personnes chargées de réaliser leur implantation) permettront d’atteindre les objectifs souhaités. Il est souhaitable que l’entreprise ait défini une structure ou une équipe de projet pour concevoir, planifier, approuver, tester, contrôler et documenter tant l’application finale que les différentes phases permettant de garantir la qualité du système d’information obtenu. Il est également nécessaire de s’assurer que chaque application s’insère dans le système d’information global de l’entreprise. Le contrôle des interactions doit vérifier qu’il n’y a pas de déperdition entre les différentes applications. Ce contrôle apparemment évident ne l‘est que pour les transactions récurrentes et habituelles. En général, quand des fuites se produisent et que des transactions initialement entrées dans le système d’information ne sont plus traitées par la suite, ou font l’objet d’un double traitement, c’est que ces transactions présentaient une caractéristique spécifique mal appréhendée par l’application informatique concernée. Sont particulièrement visés par ce type d’anomalie : les retours de marchandises, les produits livrés selon des procédures inhabituelles, les conditions spécifiques accordées pour satisfaire un client, etc. Le moyen le plus efficace pour réduire l’impact de tels risques est d’instituer des mécanismes de rapprochement des entrées et des sorties visant à identifier toutes les

sources d’écarts connues. Il est également possible de disposer, à chaque entrée ou sortie d’application, de compteurs permettant de mesurer les flux entrants et sortants et d’effectuer des rapprochements automatisés. À partir des contrôles mis en œuvre sur la globalité du système d’information, et des contrôles spécifiques à chaque application, il est nécessaire de prévoir une cartographie faisant ressortir les incohérences éventuelles entre les contrôles mis en place et les zones faisant l’objet de contrôles faibles ou insuffisants.

1.3.3. Le déploiement par les règles et les procédures Les règles permettent d’établir ce qui doit être fait, alors que les procédures détaillent les actions que les employés doivent accomplir pour respecter les principes. Les règles et les procédures doivent permettre de s’assurer que les directives des dirigeants sur le contrôle des risques sont réellement mises en œuvre. Ces principes et procédures peuvent porter sur les aspects opérationnels (la gestion des risques industriels liés à la manutention ou au stockage de produits inflammables ou explosifs), sur le reporting financier (comment s’assurer que les toutes les transactions réalisées avec des tiers sont réellement enregistrées en comptabilité) ou sur la conformité (le traitement de tel type d’opération respecte-t-il les normes en vigueur ?). La difficulté est d’arriver à coordonner la réponse aux trois catégories de risques (opérationnel, reporting, conformité). Ainsi, la gestion de la conformité s’attache davantage à la forme qu’au fond ; alors que la gestion des risques opérationnels privilégie les conséquences concrètes des décisions ou des actions entreprises, c’est-àdire le fond par rapport à la forme. L’entreprise peut recourir à cinq principaux types de contrôle interne : • les contrôles préventifs, réalisés avec une fréquence généralement prédéterminée, visent à identifier les anomalies ou les risques préalablement à leur réalisation ou à leur validation. Ils évitent la survenance de risques clairement identifiés. L’utilisation d’un coffre-fort, ou le changement régulier de sa combinaison constituent des mécanismes de contrôle interne préventifs ; • les contrôles de détection interviennent postérieurement à la réalisation du risque. Ils évitent la dissémination du risque ou de ses effets. Ainsi, le contrôle des transactions supérieures à x euros n’a pas pour objet premier de limiter les erreurs de saisie (bien que l’existence d’un contrôle a posteriori soit un facteur de réduction de ce type d’erreurs), mais plutôt de limiter les conséquences dommageables d’une erreur (ou d’une malversation) quand celle-ci porte sur des montants significatifs ; • les contrôles manuels. Même si une chaîne de traitement assure un contrôle automatique des entrées et des sorties, il est nécessaire de contrôler manuellement la

possibilité d’une erreur systématique qui n’aurait pas été intégrée dans la programmation des contrôles ; • les contrôles informatisés visent à identifier de façon systématique les anomalies de fonctionnement. Ces anomalies font ensuite l’objet d’un traitement informatisé ou manuel ; • les contrôles hiérarchiques contribuent à la coordination des activités et concourent à l’obtention des résultats généraux de l’entreprise.

1.4. L‘information et la communication Dans une économie où les flux dématérialisés sont créateurs de valeur, par la gestion plus fine des flux physiques qu’ils permettent ou par la réaction plus rapide aux différents équilibres ou déséquilibres de l’offre et de la demande, les systèmes de contrôle interne doivent assurer la pertinence de l’information et l’efficacité de la communication tant interne qu’externe.

1.4.1. La pertinence de l’information L’information doit non seulement être obtenue, mais elle doit également être transmise dans les délais aux bons destinataires, avec tous les détails nécessaires pour une utilisation efficace. Le système de contrôle interne doit permettre d’identifier les retards ou les omissions dans la fourniture des informations planifiées. Si une base de données repose sur une actualisation mensuelle de certains paramètres, un mécanisme de contrôle interne doit valider la réalité de chaque mise à jour mensuelle. Concernant les destinataires de l’information, un listing peut être édité, recensant les diverses informations à fournir quotidiennement, hebdomadairement ou mensuellement aux différents responsables de services ou d’activités. La génération des informations peut être automatisée à partir des bases de données centrales de l’entreprise, mais il est nécessaire de prévoir régulièrement une mise à jour des listes de diffusion. Il est en effet fréquent de voir des informations toujours diffusées à des responsables ayant changé d’affectation, ou de continuer à diffuser des informations devenues inutiles en raison des évolutions technologiques ou des changements de métiers ou de produits. Les systèmes d’information ne peuvent donc pas être conçus comme des systèmes statiques et figés dans le temps. Bien au contraire, les procédures de contrôle interne doivent prévoir des plans stratégiques de mise à jour, de maintenance ou de remplacement des différents éléments du système d’information, en lien avec la stratégie globale de l’entreprise. Le développement des systèmes d’information doit contribuer à l’obtention des objectifs généraux de l’entreprise. Le remplacement de multiples logiciels d’application par un progiciel intégré offre

ainsi l’avantage d’une meilleure interconnexion entre les différentes sources de données, et doit normalement permettre une réduction du nombre des entrées, puisqu’une information, une fois saisie, n’a pas à être saisie une seconde fois, mais doit simplement faire l’objet des validations générant les traitements informatiques automatisés. Néanmoins, pour être pertinent, le choix d’un progiciel intégré doit intégrer l’ensemble des objectifs de l’organisation, afin de déterminer dans quelle mesure des informations complémentaires facilitent la prise de décision, la réaction aux évolutions environnementales, ou tout autre facteur contribuant à une meilleure réalisation des objectifs de l’entreprise.

1.4.2. La communication interne En présence de comportements non conformes à l‘éthique ou aux règles en vigueur dans l’entreprise, les réactions peuvent revêtir des formes ambivalentes. D’un côté, il est tentant de dénoncer la non-conformité et, de l’autre, il existe toujours une forme de solidarité visant à faire primer la collégialité sur l’individualité et, par conséquent, à passer sous silence les comportements inopportuns. Un système de contrôle interne doit garantir la communication des comportements non conformes quand ceux-ci peuvent affecter de façon significative le fonctionnement de l’organisation. Un système qui relèverait systématiquement tous les manquements aux règles et procédures pour en faire un relevé détaillé au responsable hiérarchique serait rapidement perçu comme un système de « flicage » peu propice au travail en équipe, puisque chacun serait en permanence confronté au risque d‘être dénoncé pour un comportement déviant. Inversement, un système où les individus se couvriraient mutuellement sans dénoncer des anomalies flagrantes verrait l’efficacité du travail de l’équipe également compromise. Il est donc nécessaire de prévoir des procédures de délation soumises à des règles de confidentialité très strictes et faisant l’objet d’enquêtes minutieuses et discrètes avant de porter les accusations sur la place publique (qu’il s’agisse de dénonciation au procureur de la République pour les cas de fraude pénale ou de sanction interne pour les cas mineurs). L’affaire Enron a servi de laboratoire pour examiner les conséquences d’une communication incomplète en présence de malversations. Lorsque le président du conseil d’administration fut informé des manquements aux procédures relevés par l’un de ses cadres dirigeants contre le directeur financier, sa réaction fut d’étouffer l’affaire et de muter le cadre dirigeant afin d’empêcher toute communication autour des malversations relevées.

1.4.3. La communication externe La responsabilité implique toujours une obligation de rendre compte des décisions

prises ou des actions mises en œuvre. Mais un compte rendu est également un moyen pour les personnes de se décharger de leur responsabilité, dans la mesure où celle-ci devient collective dès que les décisions ou les actions sont avalisées par les délégataires. Dans une entreprise, la communication vers le responsable hiérarchique est le premier mode de transmission de la responsabilité. Dans certains cas, la communication s’exerce vers un comité ou un conseil, et non vers un unique individu. C’est notamment le cas pour les directeurs généraux ou les responsables de projets ou de processus qui rendent compte à une pluralité d‘acteurs. Pour permettre une adéquation de l’entreprise aux attentes de ses clients, ou favoriser une réponse plus pertinente de ses fournisseurs ou de ses sous-traitants à ses propres exigences, l‘entreprise doit identifier les points majeurs sur lesquels faire porter son message. La communication doit intégrer les valeurs éthiques que l’entreprise souhaite promouvoir. Pour être cohérente dans son action, l’entreprise doit exiger de ses principaux fournisseurs ou sous-traitants des exigences similaires aux siennes en matière d’éthique et de développement durable. Le système de contrôle interne doit assurer un suivi et un archivage tant des informations communiquées à l’extérieur que des informations reçues des diverses parties prenantes et ayant conduit à des prises de décision ou à des actions significatives. Ce suivi permet de s’assurer que les informations reçues ont bien été exploitées et que les retombées éventuelles ont été communiquées aux intéressés.

1.5. Le pilotage Le pilotage (précédemment dénommé supervision) vise à s’assurer de l’efficacité (la capacité à réduire et maîtriser les risques) et de l’efficience (la maîtrise des risques en minimisant les ressources consommées et en évitant les restrictions à l’innovation) des systèmes de contrôle interne. Par conséquent, non seulement le pilotage doit s’assurer que des zones de risques n’ont pas été oubliées, mais aussi que les mécanismes de contrôle interne ne sont pas redondants. Il est possible que certains principes de contrôle interne soient imparfaits sans que l’ensemble du système de contrôle interne soit remis en cause. Le rôle de la supervision est de s’assurer de la complémentarité et de la non-redondance des mécanismes de contrôle interne en place. Comme la nature et l’ampleur des risques évoluent dans le temps, les dirigeants doivent assurer ce pilotage dans la durée.

1.5.1. Le contrôle permanent et périodique Le pilotage permet d’évaluer les contrôles critiques sur les risques significatifs. Le processus de supervision est ordonné autour de quatre étapes (graphique 5.2) : • la compréhension et la hiérarchisation des risques par rapport aux objectifs

organisationnels. Cette hiérarchisation peut différer selon le niveau de supervision auquel on s’intéresse. Il est évident que les risques identifiés pour la supervision d’une gestion d’entrepôt seront différents de ceux pour la supervision de la direction générale d’une multinationale ; • l’identification des contrôles critiques qui répondent aux risques considérés comme prioritaires. On se réfère souvent à des facteurs clés de succès pour élaborer une stratégie. De façon similaire, il est possible de déterminer des contrôles clés qui permettront de répondre aux risques tout en minimisant les ressources consommées par les activités de supervision ; • l’identification de l’information sur la bonne couverture des risques par le système de contrôle interne. Il ne suffit pas que le système de contrôle interne soit bien conçu et qu’il fonctionne, il faut également avoir l’assurance de ce bon fonctionnement. C’est l’objet de la remontée d’information ; • la mise en œuvre des procédures efficientes et efficaces qui permettent d’exploiter l’information recueillie.

Graphique 5.2 Le processus de supervision selon le COSO

Schéma adapté de : Coso (2008, Guidance on Monitoring, Monitoring Design & Implementation Progression.

Pour établir que le système de contrôle interne est bien conçu et qu’il fonctionne harmonieusement, il est nécessaire de disposer d’une information qui soit suffisante, pertinente, fiable et actuelle. L’information doit être suffisante pour éviter qu’il ne subsiste des doutes sur la représentativité de l’information recueillie. Elle peut être appréhendée par observation directe ou indirecte. L’observation directe consiste à observer une procédure de contrôle ou à la réaliser une seconde fois ou, encore, à la tester. L’observation indirecte regroupe l’ensemble des sources d’information qui permettent de supposer qu’un contrôle fonctionne efficacement sans pour autant procéder à une observation directe du contrôle lui-même (dans certains cas parce que le contrôle est difficilement observable ou que cette observation est très coûteuse). Les évaluations statistiques ou les revues analytiques font partie des méthodes d’observation indirecte. La supervision peut être permanente ou ponctuelle. Elle peut être planifiée ou impromptue. Il existe une interaction très forte entre ces différentes formes temporelles de supervision. Une supervision permanente et efficace rend moins nécessaire la réalisation fréquente de supervisions ponctuelles. Inversement, une supervision courante inadéquate devrait conduire à un renforcement de la fréquence des supervisions ponctuelles. Ainsi, dans un entrepôt, s’il existe des mécanismes d’inventaire permanent et d’inventaire physique tournant faisant ressortir hebdomadairement ou mensuellement les écarts constatés, et si ces écarts font l’objet d’un suivi régulier, l’entreprise peut se satisfaire d’un inventaire physique général réalisé une fois par an. Inversement, si la supervision permanente est plus faible, des inventaires physiques plus rapprochés doivent être envisagés.

1.5.2. L’évaluation et la communication des faiblesses Le processus de supervision ne trouve son achèvement que quand les résultats sont collectés, synthétisés et font l’objet d’un compte rendu aux personnes adéquates. L’ensemble du processus doit permettre de confirmer l’efficacité attendue du processus de contrôle interne ou d’en souligner les déficiences. Dans ce dernier cas, il convient de prévoir le niveau hiérarchique auquel les déficiences identifiées doivent être communiquées et la nature des actions correctrices à mettre en œuvre. Les facteurs contribuant à la prise de décision sont la probabilité qu’une déficience entraîne une erreur, l’efficacité d’autres contrôles compensatoires, l’effet potentiel d’une déficience sur les objectifs de l’entreprise ou sur tout autre objectif, l’effet cumulé des déficiences relevées. Le mode de communication du processus de supervision dépend des parties prenantes auxquelles il est transmis. Normalement, le processus de supervision fait l’objet d‘un reporting interne auprès de la direction générale de l’entreprise et auprès de son comité d’audit ou de son

conseil d’administration. Ce reporting peut cependant être limité aux responsables d’un service ou d’une division de l’entreprise quand les enjeux de contrôle interne, et le mécanisme de supervision qui y est associé ne justifient pas l’implication directe de la direction générale (par exemple, parce que les implications ne sont pas significatives au regard de la globalité de l’entreprise). À l’exception des cas de fraude, les résultats de la supervision des procédures de contrôle interne doivent être communiqués au responsable du contrôle et au responsable hiérarchique direct. Le responsable du contrôle peut ainsi ajuster les modalités de réalisation de ses contrôles pour répondre aux déficiences relevées, et le responsable hiérarchique peut veiller à la prise en compte des observations formulées. En cas de fraude, les résultats de la supervision doivent être communiqués aux échelons hiérarchiques supérieurs et, éventuellement, à la direction générale et au comité d’audit. Certaines parties prenantes peuvent exiger la communication des résultats de la supervision pour les processus qui les concernent. Il peut s’agir d’un client qui souhaite avoir l’assurance de la mise en place d’un contrôle qualité efficace chez son soustraitant. La législation et la réglementation peuvent également prévoir des obligations spécifiques auxquelles le mécanisme de supervision devra pouvoir répondre. De même, le contrôle des auditeurs externes sera facilité et renforcé si les communications précisent la nature des contrôles effectués, la façon dont les contrôles ont été conduits et les références des personnes ayant assuré ces contrôles de supervision.

2. Faut-il normaliser le contrôle interne ? La norme est souvent synonyme de qualité ; un objet normé serait un objet de qualité. Pourtant, on assiste aussi à l’émergence de la customerisation (un objet, ou un service, d’usage courant est modifié dans son apparence pour lui donner une individualité qui le rend plus spécifique à une personne donnée ou à un groupe de personnes) et au développement des objets de luxe supposés véhiculer une spécificité plus grande répondant aux attentes du client. En matière de contrôle interne, l’évolution est sans doute similaire. Sous la carrosserie, les pièces, les composants doivent être parfaitement standardisés, mais, en apparence, le produit est adapté à l’entreprise qui souhaite le mettre en œuvre. La question est de savoir si la standardisation du contrôle interne n’est pas, d’une certaine manière, la négation du processus de contrôle interne.

2.1. Les trois enjeux de la normalisation du contrôle interne Nous avons défini le contrôle interne comme l’ensemble des systèmes de contrôle,

établis par les dirigeants pour conduire l’activité de l’entreprise (ou de l’organisation) d’une manière ordonnée, pour assurer le maintien et l’intégrité des actifs, et fiabiliser les flux d’information. La normalisation soulève donc trois questions : • la fiabilisation des flux d’information passe-t-elle par la normalisation ? • le maintien et l’intégrité des actifs nécessitent-ils une normalisation ? • la conduite de l’entreprise doit-elle être normée ?

2.1.1. La fiabilisation des flux d’information Cette question est apparemment relativement simple. En effet, la comptabilité générale, qui permet de formaliser les flux d’information destinés à l’administration, aux établissements financiers et aux actionnaires, est normalisée depuis le milieu du XXe siècle. Cela fit partie des grandes réformes mises en œuvre dans la plupart des pays développés du globe à l’issue de la seconde guerre mondiale pour éviter la répétition de la crise financière de 1929 et permettre un meilleur pilotage économique par les États sur le modèle de la planification en Union soviétique et du New Deal aux ÉtatsUnis. Plus récemment, l’adoption des IAS/IFRS par l’Union européenne a également visé à normaliser l’information comptable et financière, la rendre plus comparable internationalement, et fiabiliser les états financiers produits. Cependant, si la comptabilité générale est fortement normalisée, ce n’est pas le cas des autres formes d’information6, qu’il s’agisse de l’information de gestion (comptabilité analytique, comptabilité à base d’activités, budgets, etc.), de l’information sociale et environnementale (même s’il existe des tentatives pour mettre en place des normes internationales) ou de l’information sur les processus (l’information véhiculée au sein des ERP). Fiabiliser les flux d’information peut passer par les principes du contrôle interne, mais il n’est pas possible de dresser une liste exhaustive et pertinente des procédures à appliquer. Celles-ci dépendent de l’information qui est collectée, traitée et synthétisée. Les normes sur les flux d’information (hors comptabilité financière) ne peuvent donc que se limiter à des évidences ou à des conseils de bon sens qui finissent toujours par se résumer dans les grands principes de contrôle interne (compétence des acteurs, séparation des tâches, délégation et contrôle des responsabilités). À titre d’exemple, la société XX (un des leaders mondiaux dans la production de ciment et de béton) au Vietnam a mis en œuvre en 2012-2015 un programme ambitieux de maîtrise des taux de charge des camions transportant les produits de l’entreprise (que ce soit en entrée pour l’acquisition des matières premières ou en sortie pour la

livraison des clients)7. Un objectif de contrôle interne consistait à s’assurer que cette politique était réellement mise en œuvre et suivie d’effets. Cela nécessitait de développer un système de mesure pour identifier les cas de surcharge et apporter une réponse (si possible immédiate). Les normes de contrôle interne ont dû s’appuyer sur des compétences techniques et managériales pour trouver des solutions qui répondent aux exigences de sécurité imposées par l’entreprise sans pour autant grever la rentabilité et perdre des marchés. C’est le bon sens et la concertation qui, in fine, ont permis de trouver les solutions adaptées qui, ensuite, sont transcrites dans les normes, les processus et les procédures de contrôle interne.

2.1.2. Le maintien et l’intégrité des actifs La question de la conservation des actifs dont l’entreprise a la charge est plus complexe. La dégradation des actifs peut résulter de facteurs chimiques (la rouille du fer), biologiques (l’attaque du bois par des champignons) ou humains (le vol). Il est possible de donner des règles et des principes de bon sens (par exemple, ne pas laisser des outils en fer à l’air libre sous la pluie ou dans une atmosphère chargée d’humidité) ; mais ces règles exigent souvent d’être détaillées pour s’adapter à tous les cas particuliers (par exemple, le recours à des alliages inoxydables supprime le risque initial, de même que l’utilisation d’une couche de revêtement protectrice). Les principes font donc appel au bon sens qui, lui-même, nécessite une connaissance des actifs et de leurs conditions d’utilisation. Si l’on souhaite proposer des procédures de contrôle internes applicables à la quasi-totalité des situations rencontrées, on rentre rapidement dans un inventaire à la Prévert où la multiplicité des cas envisagés est toujours dépassée par l’inventivité de la nature et de la société. Il convient donc de distinguer le niveau des principes (qui ne peuvent que rester généraux) de celui des normes locales retenues par chaque entreprise pour faire face aux risques auxquels elle est confrontée compte tenu de son secteur d’activité, de sa situation géographique, de sa culture organisationnelle, des institutions locales, etc. En prétendant fournir le cadre général d’analyse d’un bon système de contrôle interne, le COSO exerce une forme de privatisation du bon sens. Ce qui est de l’ordre de l’évidence devient subitement le fruit d’une analyse d’experts8. Dans le cas de l’intégrité des actifs, la démarche proposée par le COSO suppose de s’interroger sur l’environnement de contrôle et notamment sur la gouvernance de l’entreprise, avant de descendre progressivement au cœur de l’organisation. Ce faisant, on identifie effectivement les risques majeurs de l’organisation, ceux qui sont liés à l’incompétence des administrateurs ou des dirigeants ou à des risques de collusion de la direction générale. Mais, le risque local, celui que les actifs ne fassent pas l’objet d’une

maintenance adéquate, n’est pas appréhendé. En effet, le risque perçu par le COSO n’est que le risque statistiquement identifiable. De même, quand le COSO introduit explicitement le risque de fraude parmi les 17 principes majeurs, l’enjeu n’est pas la suppression de la fraude, mais son évaluation. Au lieu de viser à une disparition quasi totale de la fraude dans la perspective d’une démarche de type qualité totale, on vise simplement à la maîtriser, à en réduire le montant à un niveau acceptable. Poussé à l’extrême, ce raisonnement explique que le comportement d’un Jérôme Kerviel au sein de la Société Générale ait pu être considéré favorablement en interne tant que les montants en jeu restaient maîtrisables et que les opérations dégageaient un résultat positif. La fraude n’est devenue fraude qu’à partir de l‘instant où elle a menacé l’organisation dans sa globalité. On arrive ainsi à une certaine perversité du système de contrôle interne. Celui-ci ne s’intéresse plus au niveau individuel, mais uniquement au niveau global. Cette tendance est amplifiée par la généralisation des contrôles informatisés. La qualité est ce qui est saisi, enregistré, et qui fait l’objet d’une synthèse globale. Peu importe la réalité concrète de la maintenance des actifs, ce qui compte c’est la capacité à appréhender cette maintenance en assimilant la mesure de la qualité à un faisceau d’indicateurs mesurables et synthétisables (notamment sous la forme d’une moyenne et d’un écarttype). Mais la pertinence de la normalisation peut également être mise en cause pour les actifs immatériels. Il est en effet facile de mettre en place des procédures qui réduisent drastiquement le risque de diffusion de produits impliquant un droit d’auteur (ouvrages, brevets, etc.). Il suffit d’élever suffisamment le niveau de sanction et de déployer des ressources pour identifier les cas de détournement. Par contre, ce que la normalisation ne met pas en évidence, c’est la pertinence des procédures de non-détournement d’un point de vue éthique. En effet, dans de nombreuses situations, les procédures mises en œuvre ne font que défendre le fort au détriment du faible. Seul le fort a la capacité de faire appliquer exactement les procédures qu’il a conçues. Le faible, quant à lui, se limite à observer les procédures qui lui sont imposées.

2.1.3. La conduite de l’entreprise Sur une longue durée (plus d’un siècle), on observe la croissance de la normalisation du travail humain. Alors qu’historiquement, il existait des pratiques de savoir-faire (la capacité à modifier une activité donnée pour s’adapter aux spécificités du produit ou du service rendu), la révolution industrielle a déstructuré ces savoir-faire en imposant une séparation des tâches qui ôtait la vision d’ensemble à l’ouvrier pour la transmettre à l’ingénieur. Frederick Taylor est l’emblème de cette normalisation du travail industriel. Parallèlement, Henri Fayol a mis en place les fondements de la normalisation du travail

administratif et du management. Tout au long du XXe siècle, ces travaux ont été complétés, parfois remis en cause, mais globalement ils ont connu une évolution vers des approches plus standardisées. Au tournant du XXe siècle, cette attention portée au management s’est déplacée vers la normalisation de la gouvernance des entreprises. Il est apparu que, pour maîtriser les risques majeurs de l’entreprise, il était désormais nécessaire de normaliser également les organes qui en assurent la supervision et l’administration générale. C’est ainsi que sont apparus les divers codes patronaux préconisant les règles de la bonne gouvernance. À la suite de la crise liée aux affaires Enron, Worldcom, Vivendi, etc., les États ont légiféré, donnant la loi Sarbanes-Oxley aux États-Unis en 2002 et les lois relatives aux nouvelles régulations économiques, à la sécurité financière et à la confiance de 2001, 2003 et 2005 en France. Le COSO 2013 s’inscrit dans cette logique qui suppose qu’il existe une bonne manière de diriger son entreprise. Les principes affichés sont globalement indiscutables : intégrité et éthique, indépendance et expertise du conseil d’administration… La difficulté vient nécessairement de leur application. Par exemple, l’indépendance peut fréquemment se trouver en conflit avec l’expertise. Si un administrateur a une expertise forte, il a généralement travaillé dans le secteur où exerce l’entreprise. Par conséquent, il y a noué des relations et a construit un réseau relationnel. De ce fait, son indépendance est nécessairement réduite. La notion même d’éthique couvre une infinité d’interprétations. Il est rare qu’un individu s’affranchisse totalement de l‘éthique. Par contre, il est fréquent que chaque individu tende à se construire une vision de l’éthique qui puisse recouvrir la défense de ses intérêts particuliers9. La mise en place d’un code éthique n’est donc en aucune façon la garantie de l’absence de fraudes ou d’un comportement vertueux (Enron avait un code éthique très développé). Par nature, la conduite de l’organisation relève du particulier et non du général, de l’art et non de la science, de la capacité à arbitrer entre des exigences ou des principes contraires, de l’aptitude à concilier des attentes diverses et parfois opposées.

2.2. La normalisation, conséquence d’une approche scientifique poussée à son paroxysme Si la normalisation en matière de contrôle interne semble ne pouvoir qu’être très limitée et se limiter à une succession de préconisations de bon sens, comment se fait-il qu’il existe une poussée très forte en faveur de cette normalisation, à l’image de ce qui se passe pour la comptabilité générale ou pour les activités bancaires ?

La recherche de la production à l’identique est le facteur majeur qui explique cette prolifération de la norme. Cela passe par la standardisation du produit ou du service et par la mesure de l’écart à la norme.

2.2.1. La normalisation, reproductibilité

outil

de

standardisation

et

de

La normalisation permet de définir les caractéristiques que l’on estime souhaitables pour un bien ou un service. Le standard, qui résulte de cette définition, constitue le modèle de ce qui doit être fait. Alors que, dans une production non normalisée il existe une tendance naturelle à évoluer graduellement pour améliorer son produit, soit dans ses caractéristiques finales, soit dans le processus qui permet de le réaliser ; dans une production standardisée, cette évolution se fait par paliers. La production marginale d’une unité supplémentaire ne vise pas à une amélioration, mais à une reproduction à l’identique. L’amélioration ne se fait que lors des changements de standards, c’est-àdire lors de la révision des normes qui ont permis de définir le standard. Bien plus, l’amélioration marginale peut être considérée comme un défaut, dans la mesure où le produit s’éloigne du standard qui va servir à l’évaluer. Ce ne sera que lors d’un changement de normes que l’amélioration pourra être évaluée positivement. Le but d’un système normé n’est pas de s’améliorer, il est de reproduire à l’identique. Au lieu de considérer le temps comme un continu, une durée10, la norme fige le temps. Elle fait en sorte que le présent demeure (éventuellement sur plusieurs mois dans le cas d’une production en série de longue durée). Durant ce temps, tout est fait pour que le processus reste immobile, stable, et que le standard soit rigoureusement respecté et atteint. Le domaine de la pharmacie est exemplaire de cette vision. Les plantes offrent des variations parfois très fortes de leurs composants au gré des saisons, des terroirs, voire même des modes et des heures de collecte. La production industrielle des produits pharmaceutiques a essayé de s’affranchir de ces variations en isolant systématiquement les principes actifs qui l’intéressaient de façon à favoriser la standardisation de la production. L’outil ultime de standardisation est la production d’une molécule synthétique à la place d’une molécule dite naturelle (produite par des plantes), car cela permet de supprimer la variabilité. Cette prolifération de la norme11 a été rendue possible par le développement de la science et sa capacité à analyser, c’est-à-dire à étudier séparément chacun des composants d’un produit ou d’un service12. En effet, la reproductibilité ne porte plus sur le produit conçu comme un tout, mais sur le produit perçu comme addition ou agglomération d’un ensemble de composants.

2.2.2. L’écart-type, outil de mesure Cette approche analytique du bien ou du service ouvre la voie à la mesure des écarts. La standardisation du produit n’est plus appréciée dans sa globalité, mais dans sa composition et dans ses caractéristiques détaillées. Par exemple, une pièce en acier pour l’automobile fera l’objet de mesures physiques destinées à vérifier les cotes de la pièce dans ses trois dimensions, mais elle fera également l’objet de tests mécaniques ou chimiques, voire radiographiques, pour déceler des éléments éventuels de fragilité susceptibles d’entraîner une usure prématurée ou une fracture. Cette évolution est plutôt positive, elle offre une meilleure compréhension et appréhension des caractéristiques du produit. Mais, si la norme prétend effacer le temps, elle n’y arrive pas. Elle ne peut que tenter d’en ralentir les effets, se donner l’apparence d’une suspension du temps. Par conséquent, il existe nécessairement des écarts entre la réalité du produit et le standard qui lui sert de référence. Ces écarts peuvent être d’origine mécanique (les dérèglements dus à la répétition des frottements occasionnés par la production), chimique (la corrosion, les interactions des diverses substances, etc.) ou humaine (un moment d’inattention, une faute intentionnelle, etc.). La norme va donc non seulement définir le standard à atteindre, mais également les écarts qu’elle tolère. Sur des productions de grande série, la loi statistique normale s’impose et c’est l’écart-type qui va servir d’instrument de mesure pour identifier non seulement les produits non conformes (dont l’écart au standard est supérieur à l’écarttype retenu comme tolérance), mais aussi, et surtout le risque de non-conformité. En effet, il existe toujours un risque de production de biens ou services non conformes. L’utilisation des écarts-types permet, par échantillonnage, d’évaluer le risque de nondétection d’une non-conformité.

2.2.3. La conséquence sur le système de contrôle interne Le rôle du contrôle interne est normalement de faire respecter la norme. Quel est alors le sens de normaliser le processus qui permet de respecter la norme. On retrouve ici le dilemme ancien de « qui contrôle le contrôleur ? ». Il existe néanmoins une différence de taille. Dans la problématique classique du contrôle, la question finale est la motivation du contrôleur à effectuer son travail de contrôle et à ne pas céder aux avantages personnels qu’il pourrait retirer d’une attention moindre, voire même éventuellement d’une complicité avec l’auteur d’infractions aux normes. Si l’on appliquait le même raisonnement au contrôle interne, on se rendrait compte que l’enjeu essentiel du contrôle interne porte sur le choix des personnes en charge de la mise en place et du fonctionnement. Pour les entreprises, cette fonction est dévolue aux dirigeants et, par délégation, aux différents responsables d’unités ou de services.

Or, l’imposition de normes de contrôle interne tend à faire disparaître la dimension essentiellement humaine du contrôle. Alors que l’enjeu devrait être de s’assurer que les dirigeants, les responsables d’unités et de services, et les auditeurs internes ont bien intérêt à mettre en œuvre un système de contrôle interne efficace, on escamote cette dimension humaine pour y introduire une dimension apparemment rationnelle et scientifique. Ce faisant, on ne fait que rajouter un niveau supplémentaire, et une complexité plus grande puisque, in fine, la pertinence du système dépendra quand même des individus qui auront le pouvoir de décider des normes à respecter, à contourner ou à transgresser. Ceci explique que le cadre proposé par le COSO en 2013 insiste désormais très fortement sur la problématique de la gouvernance. En effet, on peut remonter aussi haut que l’on voudra, ce qui différencie une entreprise respectueuse de la société dans laquelle elle opère et une entreprise mafieuse, ce n’est pas le détail des opérations effectuées, mais c’est l’esprit dans lequel ces opérations sont effectuées (l’exigence du vivre-ensemble versus l’appât du gain). Les dérives normatives du contrôle interne sont particulièrement visibles dans le domaine financier. Confrontés aux exigences normatives et à la pression politique, judiciaire et médiatique de conformité, les dirigeants des grands établissements bancaires ont formalisé les règles à appliquer. Mais, dans le même temps, la pression en faveur d’une plus grande profitabilité (liée entre autres aux perspectives de rémunération offertes aux dirigeants) incite ces mêmes dirigeants à exiger de leurs collaborateurs la recherche permanente des opportunités de profit. Se met alors en place un jeu complexe où le profit est l’objectif implicite à atteindre tout en donnant l’apparence formelle de la conformité aux normes et aux procédures de contrôle interne (qui, en raison de leur nombre et de leur complexité, créent fatalement des incompatibilités). L’affaire Kerviel n’est donc pas un épiphénomène désormais dépassé. Elle est, au contraire, au cœur de ce comportement schizophrène où, pour répondre aux exigences de profit, il faut déployer des trésors d’ingéniosité (en langage politiquement correct, on parlera d’innovation) tout en étant attentif à ne pas se faire prendre en flagrant délit de non-conformité. On est ainsi dans un jeu institué du gendarme et du voleur. L’employé doit jouer au voleur pour atteindre les objectifs qui lui sont assignés et il sera récompensé tant qu’il maintiendra l’apparence de la conformité. Si, pour des raisons diverses, il est pris en situation de non-conformité, alors l’organisation se retournera contre lui et se donnera la posture de la victime.

2.3. La prise en compte des territoires et des parties prenantes

L‘approche normative, qui vise à appréhender un système dans sa globalité, ne peut être qu’analytique. En effet, la norme ne peut que spécifier des comportements ou des objets précis. Il existe néanmoins une exception à cette règle : le système des prix du marché. Dans la logique économique, le prix permet de réconcilier l’offre et la demande et donc de déterminer la valeur globale d’un bien ou d’un service. Le prix ne résulte pas de la somme des éléments qui composent le bien ou le service, il est en dehors ou au-dessus de cette détermination. C’est ce qui explique la différence entre un prix et un coût. Apparemment, le prix permettrait de compléter la norme en y introduisant cette notion synthétique qui lui manque. Et c’est bien ainsi que fonctionne notre économie contemporaine où prolifèrent à la fois la norme et le prix du marché. Tout est normé et tout a un prix. Les deux s’auto-alimentent. Le prix est possible parce que le bien est normé et donc interchangeable, qu’il est dépourvu de personnalité, d’individuation. La norme est possible parce qu’à sa focalisation analytique vient s’ajouter un facteur capable de synthétiser, de globaliser. Cette approche est cependant erronée pour deux raisons : elle ignore l’interaction entre les produits et les personnes, et elle ignore la spécificité des environnements institutionnels. C’est ce qui explique que la normalisation internationale (représentée par le COSO) tende progressivement à intégrer les humains dans son réseau de procédures.

2.3.1. La normalisation de la gouvernance Dans leur article de 1976 sur la relation d’agence entre le dirigeant et ses actionnaires, Michael Jensen et William Meckling13 ont mis l’accent sur un point essentiel de la gouvernance des entreprises. Le dirigeant est à la fois celui qui bénéficie de la délégation pour gérer les ressources de l’entreprise et celui qui établit les états comptables qui permettront d’évaluer son action. La force de Jensen et Meckling a été d’appréhender le processus de reddition des comptes comme un acte volontaire et réfléchi du dirigeant pour maximiser ses intérêts en réduisant les coûts d’agence. Parce que le dirigeant subirait directement ou indirectement les coûts d’agence, il aurait intérêt à les minimiser en produisant des états financiers certifiés par un auditeur externe.

La littérature académique s’est attachée à approfondir ces deux points14 : pourquoi les dirigeants auraient-ils intérêt à réduire les coûts d’agence, et pourquoi la production d’états comptables certifiés réduirait-elle ces coûts d’agence ? Le premier volet des études académiques a porté sur les mécanismes d’incitations. En alignant l’intérêt des dirigeants sur celui des actionnaires, on favoriserait une meilleure prise en compte des coûts d’agence par les dirigeants, puisque ceux-ci auraient un intérêt direct

(patrimonial) à l’augmentation de la valeur financière de leur entreprise. De nombreuses études académiques ont cependant montré les limites de cette approche et essayé d’introduire des dimensions partenariales plus larges15. Le second volet a été plus tardivement approfondi avec la remise en cause de l’audit comme mécanisme parfait de la réduction d’asymétrie d’information16. Rien ne garantit que l’information diffusée par le dirigeant et certifiée par les auditeurs permette réellement d’évaluer la performance du dirigeant et sa bonne gestion des ressources. Le postulat essentiel des codes de gouvernance, des manuels de contrôle interne et des standards d’audit est qu’il existerait une bonne manière de faire qui pourrait être déclinée dans tous les secteurs d’activité, tous les pays et toutes les configurations partenariales en ajustant simplement les paramètres globaux du modèle aux spécificités locales. Dans cette logique, le dirigeant peut être évalué par les informations qu’il fournit parce que le processus de reddition des comptes est strictement normalisé. Si la norme est nécessaire, parce qu’elle permet de réguler les rapports humains et facilite les échanges et la transmission de l’information, la croyance en la norme peut se révéler désastreuse. Les scandales financiers de ces dernières décennies ont quasiment tous reposé sur une croyance absolue dans le pouvoir de la norme supposée éviter toutes les catastrophes. Qu’il existe des principes, des guides d’aide à la mise en place d’un contrôle interne ou d’un processus d’audit, cela est une nécessité, non pour la mise en œuvre du contrôle interne ou de l’audit, mais pour l’apprentissage et la formation des auditeurs et des contrôleurs. Le risque posé par la prolifération des normes et des standards est la focalisation sur la maîtrise des normes au détriment de la réalité. Ce n’est pas le système de contrôle interne qui est essentiel, ce sont les processus sous-jacents au système de contrôle interne. L’objectif n’est pas d’avoir l’apparence d’une maîtrise parfaite des processus, mais d’avoir des processus qui permettent d’aboutir aux produits souhaités et qui assurent la satisfaction des diverses parties prenantes. Si un dirigeant est choisi, ce n’est pas en raison de sa maîtrise du contrôle interne ou de sa capacité à produire des états financiers, mais plutôt pour sa capacité à gérer des ressources au profit de processus complexes de production. Ce n’est pas sa capacité à respecter la norme qui est essentielle, mais sa capacité à s’adapter, à trouver des solutions aux évolutions de l’environnement dans lequel son organisation évolue. Les grands dirigeants (notamment Steve Jobs à la tête d’Apple) ont toujours été des personnes capables de s’affranchir du poids des normes pour proposer quelque chose de différent. Cette relativisation du rôle de la norme implique en contrepartie de revaloriser le rôle du jugement humain. Un jugement qui n’est pas parfait, mais qui a la capacité de prendre

en compte l’inhabituel, l’anormal. Cela n’exclut pas de s’appuyer sur des normes, mais cela exige d’être capable de les dépasser.

2.3.2. Les territoires, lieux d’application de la norme La direction des organisations ne se réalise pas dans un milieu expérimental clos. Elle n’est pas reproductible à l’identique, elle n’est pas parfaitement modélisable ni prévisible. L’organisation est le lieu où non seulement des personnes humaines interagissent, mais aussi où elles se confrontent à la matière, à l’objet. L’organisation est symptomatique de notre monde moderne, car elle est le lieu où se matérialise cette rencontre de l’humain et de la matière, ce que Bruno Latour17 dénomme les hybrides, objets qui ne relèvent ni, purement, de la matière, de la nature (de lois naturelles scientifiques), ni, purement, de l’humain, de la société (de lois qui dépendraient du politique, du libre arbitre humain). Si les organisations sont le lieu de cette confrontation, elles dépendent également des caractéristiques spatiales et temporelles dans lesquelles cette rencontre se situe. Les rapports humains et les rapports de l’humain à la matière ne sont pas les mêmes en Europe et en Amérique du Sud, au XXIe siècle ou au XIXe siècle. La normalisation actuelle du contrôle interne et de l’audit n’arrive pas à penser cette diversité des lieux d’exercice de l’organisation, elle n’arrive pas à penser le jeu complexe des interactions avec des institutions ancrées dans la culture, l’histoire de peuples parfois si semblables et parfois si différents. Le recours au concept de territoires18 et la prise en compte des communautés qui y vivent et des institutions qui ont émergé pour faciliter le vivre ensemble, peut permettre de mieux appréhender ce rapport complexe des personnes entre elles et avec la matière qui les entourent et qu’elles contribuent à transformer, à façonner au sein des organisations. Au lieu de plaquer le contrôle interne comme une norme exogène qui reflète un certain système de valeurs, il devient possible d’identifier les processus vitaux pour l’organisation et ses parties prenantes et de mettre en œuvre les procédures et les contrôles nécessaires à la poursuite et à la sauvegarde de ces processus. La prise en compte du territoire exige de sortir de la norme pour partir prioritairement des acteurs. La norme n’est plus qu’un élément plus ou moins coercitif qui témoigne du jeu des acteurs pour influencer le comportement de l’organisation. Cela ne signifie pas que toutes les normes sont relatives et qu’elles peuvent être considérées de façon équivalente, mais que la valeur d’une norme dépend de son adéquation aux exigences du vivre ensemble non seulement d’une communauté humaine inscrite dans un territoire, mais, plus globalement, d’une espèce humaine disséminée à travers le monde. 1. Beenen G. et Pinto J. (2009), « Resisting Organizational-Level Corruption: An interview with Sherron

Watkins », Academy of Management Learning & Education, 8 (2), 275-289. 2. Pigé, B. (2008), Gouvernance, contrôle et audit des organisations, Economica. 3. Azoulay-Bismuth A. (2007), Le rôle des administrateurs indépendants dans les sociétés cotées françaises de type managérial, Thèse de doctorat, HEC Paris. 4. Pigé, B (2012), La gestion stratégique des coûts – Du management des activités (ABC-ABM) au Lean management, EMS. 5. Crozier M. et Friedberg E. (1977), L’acteur et le système, Éditions du Seuil. 6. Cf. notamment l’ouvrage de l’auteur : Pigé B. (2011), Reporting et contrôle budgétaire – De la délégation à la responsabilité, EMS. 7. Viet Ha T. V, Cam T. D. et Pigé B. (2015), « La représentation de la performance comme possibilité de modification des règles du jeu, le cas de l’overloading au Vietnam », Prospective et Stratégie, 6, p. 137-148. 8. L’ouvrage rédigé par Pwc (un des quatre principaux réseaux d’audit), traduit par l’IFACI (Institut Français des Auditeurs et Contrôleurs Internes) est vendu en France 80 € pour un total de 264 pages. Ce prix correspond aux ouvrages professionnels spécialisés du type Memento. 9. À propos de l’honneur, Alexis de Tocqueville suggère que les codes d’honneur (les ancêtres de nos codes éthiques) ne sont qu’une construction qui répond aux intérêts de la classe sociale qui les applique : Tocqueville A. (1840), De la démocratie en Amérique – II, Gallimard folio, 2014. 10. Bergson H. (1889), Essai sur les données immédiates de la conscience, PUF, 1959. 11. Thibierge C. et alii (2014), La densification normative, découverte d’un processus, Mare & Martin. 12. Qu’il s’agisse de l’analyse chimique d’une substance, ou de l’analyse d’un processus de production industrielle comme en témoignent les procédés de taylorisation et de travail à la chaîne. 13. Jensen M.C. et Meckling W.H. (1976), « Theory of the Firm: Managerial Behavior, Agency Costs and Ownership Structure », Journal of Financial Economics, 3, p. 305-360. 14. Charreaux G. (1987), « La théorie positive de l’agence : une synthèse de la littérature », in De nouvelles théories pour gérer l’entreprise, Economica. Charreaux G. (dir.) (1997), Le Gouvernement des Entreprises, Corporate Governance, Théories et Faits, Economica. 15. Charreaux, G. (2005), « Pour une gouvernance d’entreprise ‘comportementale » : une réflexion exploratoire... », Revue Française de Gestion, 31, p. 215-238. 16. DeAngelo L.E. (1981) : « Auditor independence, ‘low balling’, and disclosure regulation », Journal of Accounting and Economics, 3, 113-127 et « Auditor size and audit quality », Journal of Accounting and Economics, 3, p. 183199. Power M. (1997), The Audit Society: Rituals of Verification, Oxford University Press. 17. Latour B. (1991), Nous n’avons jamais été modernes – Essai d’anthropologie symétrique, La Découverte, 1997. 18. Pigé B. (2015), « Fondements théoriques de la représentation comptable de la performance dans une approche territoriale et parties prenantes », Prospective et Stratégie, 6, p.15-30.

Conclusion À la lecture de cet ouvrage, il peut sembler que les questions de contrôle interne et d’audit sont désormais devenues des questions de normes. Un bon contrôle interne ou un bon audit seraient des processus qui suivraient scrupuleusement le cadre du COSO ou les prescriptions des NEP/ISA. La qualité du contrôle interne ou celle de l’audit seraient alors leur conformité aux normes. Telle n’est pas notre conclusion et nous développerons trois points complémentaires : les limites de la normalisation, les limites de la conformité, et les questions de tétranormalisation (ou de conflits entre les normes).

1. Les limites de la normalisation Prises individuellement il est difficile de contester la qualité des normes. Par contre, la vision d’ensemble que ces normes prétendent donner peut laisser perplexe. Si l’on en croit leurs promoteurs, il suffirait d’appliquer les principes du COSO ou des NEP/ISA pour aboutir à une réduction significative des risques liés au fonctionnement des entreprises auxquels nos sociétés sont confrontées. Mais est-ce le cas ? L’approche du contrôle interne et celle de l’audit comptable et financier témoignent de la même logique, car elles sont le fait des mêmes acteurs : les grands cabinets d’audit. Nous ne souhaitons pas rentrer dans la critique, faite par certains auteurs1, sur la légitimité des auditeurs anglo-saxons en matière de normalisation. En effet, selon nous, il ne s’agit pas d’une question de compétence, ni même d’une question d’indépendance (encore qu’en l’occurrence, l’évolution régulière de la normalisation soit la source d’activités de conseil très profitables) ; la question essentielle est la capacité d’un normalisateur à déterminer et imposer des pratiques universelles sur la façon de gouverner et contrôler une organisation et de rendre compte de son activité. Si l’on élargit notre champ d’études à la planète et si l’on s’intéresse à des organisations aussi diverses que les entreprises familiales africaines, les coopératives sud-américaines, les entreprises étatiques chinoises, les entreprises managériales japonaises, ou même les ONG (Organisations non gouvernementales) françaises, peuton réellement considérer que le modèle du COSO est le plus pertinent pour concevoir et appliquer un système de contrôle interne à des organisations qui exercent dans des territoires parfois fort distincts de ceux des marchés régulés nord-américains ou européens ? Prenons deux exemples : le rôle de la gouvernance dans le système de contrôle interne

et l’approche par les risques dans l’audit. Dans le premier cas, le cadre de référence implicite est celui de la théorie de l’agence. L’entreprise est la propriété d’une catégorie d’acteurs qui délèguent à quelques acteurs spécialisés (les dirigeants) le soin de gérer l’organisation à leur place. Comment peut-on appliquer ce cadre de référence quand les propriétaires sont également des acteurs essentiels de l’organisation ? Par exemple, dans le cas des coopératives agricoles ou forestières, les coopérateurs sont les décideurs (ils élisent leurs représentants au sein du conseil d’administration), mais ils sont également les fournisseurs (pour la vente de leurs produits agricoles ou forestiers) ou parfois les clients (pour les achats d’intrants : semences, engrais, traitements phytosanitaires, matériel agricole… ; ou pour la réalisation de plantations ou de travaux forestiers) de la coopérative. La notion de séparation des tâches, voire la nature des interlocuteurs, le risque de collusion, la définition exacte des attributions de chacun, sont nécessairement des points qui doivent être pris en compte, mais qui n’ont pas du tout les mêmes enjeux que pour une entreprise industrielle grand public qui vend aux consommateurs par le biais des grandes surfaces et qui s’approvisionne chez des fournisseurs situés dans des pays étrangers. Ce qui peut apparaître comme un risque majeur de contrôle interne (la concomitance de la position de propriétaire, de client et de fournisseur) peut au contraire être perçu comme un enjeu stratégique majeur pour obtenir l’implication des coopérateurs et leur adhésion au projet de la coopérative. Dans le second cas, l’approche par les risques dans la démarche d’audit semble avoir fait l’objet d’une normalisation très poussée. Mais la notion de risque est-elle nécessairement réductible à l’incomplétude des contrats existants ? Que se passe-t-il si des risques existent, mais qu’ils ne sont tout simplement pas reconnus, car non répertoriés, non identifiés. La plupart des grandes catastrophes économiques, sociales et environnementales dues à de grandes entreprises internationales correspondent à ce type de risques. En matière environnementale, ce sont les cas de la plate-forme pétrolière Deepwater Horizon de BP dans le golfe du Mexique en 2010 et de la centrale nucléaire de Fukushima en 2011 ; dans les deux cas, les risques n’avaient pas été appréhendés ou, du moins, ils avaient été considérés comme étant parfaitement contrôlés. Au regard des conséquences de ces deux événements, force est de constater que le contrôle portait peut-être sur les éléments accessoires, mais non sur le risque majeur lui-même. Le risque auquel ces deux entreprises ont été confrontées résultait d’un enchaînement de circonstances que la pensée analytique avait été incapable d’appréhender. En matière sociale, l’implication des grandes entreprises françaises dans des pays soumis à un embargo américain figure également comme des exemples de myopie. Dans

le cas de la BNP, qui a accepté de se reconnaître coupable d’avoir enfreint l’embargo contre l’Iran, Cuba et le Soudan et qui de ce fait a accepté de payer une amende de 8,9 milliards d’euros, on est presque en présence d’un canular. L’embargo était officiel, la BNP agissait en connaissance de cause et pourtant le lien n’a pas été établi avec la notion de risque. Durant toute cette période, les comptes de la BNP ont été certifiés sans réserve2. En matière économique, la faillite de Lehman Brothers en septembre 2008 est intervenue neuf mois après l’arrêté de ses comptes 2007 (au 30 novembre) qui faisaient apparaître un bénéfice de 4,2 milliards de dollars (pour un total de revenus de 19,3 milliards de dollars). Tout comme dans le cas d’Enron, la lecture détaillée des états financiers peut, a posteriori, permettre d’identifier les risques sous-jacents, mais les chiffres clés annoncés en décembre 2007 ne donnaient aucunement une mesure du risque encouru non seulement par les actionnaires, mais également par les clients ou les fournisseurs et, de façon plus générale, par les acteurs économiques à travers le monde. Dans ces différents exemples, ce qui apparaît, c’est que les procédures d’audit ont pratiquement toujours été respectées, mais que les auditeurs ont été incapables de discerner les risques majeurs qui dérivaient de l’activité de ces entreprises. En effet, une partie de ces risques est en dehors du champ traditionnel d’une lecture du risque par la théorie de l’agence. Si l’on prend le cas de la catastrophe Deepwater Horizons, BP a estimé le coût total à environ 40 milliards de dollars en raison des dépenses faites pour réhabiliter les sites pollués et des indemnités versées. Mais la question des risques supportés est également à mettre en relation avec la répartition du coût de ces risques sur les diverses parties prenantes. Dans le cas de BP, la capitalisation boursière de l’entreprise, le lieu de la catastrophe, la nationalité de l’entreprise ont contribué à une indemnisation des diverses parties prenantes. Dans le cas des forages pétroliers au large des côtes africaines, il est vraisemblable que de nombreuses parties prenantes supportent des dommages collatéraux sans avoir droit pour autant aux indemnités compensatrices.

2. Les limites de la conformité Maîtriser son entreprise : un tel impératif fait référence à la philosophie, à la nécessité pour tout individu de maîtriser son comportement, de ne pas se laisser guider par ses instincts ou ses désirs, mais de mener sa vie de façon rationnelle, comme un bon cavalier sait mener et maîtriser sa monture. Mais l’analogie semble s’arrêter là. Si tout individu doit apprendre à se maîtriser, à maîtriser ses émotions, et si cette maîtrise découle en grande partie de l’éducation, elle n’en est pas moins étroitement contingente à la personnalité de chacun.

Dans le domaine organisationnel, la dimension technique et technologique semble justifier l’objectif d’une maîtrise parfaite de l’entreprise. Celle-ci est perçue comme une machine complexe qu’il convient en permanence d’optimiser pour lui permettre de rendre ce qu’elle a de meilleur. En d’autres termes, la recherche de la maîtrise de l’organisation ne serait autre que la recherche de l’efficience : maximiser la valeur créée, la différence entre la valeur produite et les ressources consommées. Tout comme Frederick Taylor avait justifié la normalisation du travail de production pour aboutir à l’optimisation du geste humain ; de même, les processus organisationnels semblent devoir être sans cesse optimisés pour minimiser la consommation de ressources en vue d’un résultat donné. La croyance en un « one best way », une meilleure manière de faire, conduit à supposer que cet optimum, cette efficience atteinte en un instant donné et un lieu donné, peut être disséquée, analysée et standardisée (ou normalisée). Parce que la science s’attache à la reproductibilité des phénomènes, la standardisation en est la déclinaison au niveau de la production et des processus. S’il existe donc une meilleure manière de faire en matière de production, la tendance naturelle est de considérer qu’il existe également une meilleure manière de faire pour contrôler les processus, s’assurer qu’ils ne dévient pas des objectifs qui leur ont été assignés et des moyens qui leur ont été donnés. Les normes de contrôle interne et les normes d’audit sont donc la conséquence naturelle de l’évolution d’une société polarisée vers la recherche de l’efficience, de l’optimum. Mais cette croyance en une efficience qui serait le but ultime de toute organisation s’accompagne également de la croyance en une forme de pérennité de ces normes qui transcenderait le temps et l’espace. Certes, ces normes sont régulièrement révisées, améliorées, enrichies, mais toujours avec le souci d’aboutir à un système plus parfait, à une normalisation qui préviendrait davantage les erreurs, qui serait capable d’appréhender plus complètement la diversité des cas particuliers. Les récits mythiques que constituent désormais les affaires Enron et Lehman Brothers n’entament pas la croyance en l’efficacité des normes. Au contraire, ces récits semblent démontrer que les normes n’ont pas été assez précises, qu’elles doivent encore être améliorées pour pouvoir résoudre tous les problèmes susceptibles de se poser. C’est la fuite éperdue qui ne se rend pas compte qu’en traquant systématiquement les petites fuites, elle ne conduit qu’à accroître la pression de la machine. Certes, à court terme, la machine est toujours plus puissante, toujours plus rapide, mais à quel prix ? Si les deux plus grandes catastrophes économiques et financières des dernières décennies (Enron en 2001 et Lehman Brothers en 2008) sont intervenues dans le lieu même (les États-Unis) où l’efficience a été érigée en dogme, il est vraisemblable que l’imposition de ces normes dans des territoires où elles rencontrent des normes

sociales, culturelles, environnementales et économiques qui n’émanent pas de la même histoire doit produire des conflits normatifs considérables. De surcroît, l’évolution permanente de la norme se traduit par une difficulté à la maîtriser. Ce que l’on croit connaître devient rapidement obsolète, non pas dans ses fondements, mais dans les détails pratiques qui en régulent l’application. Il existe aujourd’hui une demande des milieux comptables français pour une pause dans la mise à jour permanente des normes. Non que la norme soit parfaite, mais les acteurs économiques se rendent compte que la prolifération normative rend impossible la maîtrise de la norme. Parce que celle-ci cherche sans arrêt à s’adapter aux innovations, elle entraîne dans son sillage toutes les applications qui, elles, s’appuient sur une certaine pérennité et qui nécessitent un cadre stable, réconfortant, pour développer des activités qui ne sont pas nécessairement innovantes, mais qui répondent aux besoins du marché et des clients. Le paradoxe est que la norme fige, mais qu’en figeant elle révèle ou elle suscite de nouvelles anomalies, de nouveaux dysfonctionnements, de nouvelles exceptions. Pour répondre aux pratiques émergentes, le normalisateur se sent alors contraint3 de produire de nouvelles normes ou de reprendre les anciennes pour les adapter au goût du jour. Repensons donc autrement les catastrophes financières de ces dernières décennies. Abordons-les comme des récits mythiques qui nous révèlent quelque chose de nos sociétés civiles. Regardons-les comme les symboles d’une fuite en avant dans la croyance en la normalisation toute puissante. Enron, symbole de la bonne gouvernance, application raisonnée de la théorie de l’agence où toutes les incitations sont concentrées pour obtenir le meilleur des dirigeants et des employés. Enron qui explose parce que cette incitation à la performance conduit les dirigeants dans une situation où ils ne peuvent plus qu’alimenter la fuite en avant sous peine de s’effondrer sous le poids des attentes qu’ils ont générées. Et Lehman Brothers, symbole d’une supposée maîtrise des risques financiers grâce à un calcul sophistiqué de l’appétit pour le risque, autrement dit de la recherche de l’effet de levier financier pour maximiser la rentabilité attendue en minimisant les capitaux engagés. Lehman Brothers qui, en se retrouvant en cessation de paiement, entraîne l’explosion de la sphère financière et la nécessité pour toutes les banques centrales d’inonder le marché de liquidités. Ces deux cas emblématiques symbolisent la croyance en la norme qui serait l’application raisonnée de la recherche permanente du profit.

3. La tétranormalisation Mais la conformité se heurte aussi à d’autres limites. Non seulement elle ne garantit pas la réelle maîtrise des risques, mais elle se trouve confrontée à son impossibilité. La

conformité parfaite est impossible parce que les entreprises sont confrontées à une multitude de normes qui ne sont pas nécessairement convergentes et qui imposent aux décideurs des arbitrages entre les normes à respecter et celles à ignorer ou à enfreindre. Le mot tétranormalisation4, forgé par le professeur Henri Savall, est utilisé pour décrire ces conflits de normes là où il n’existe plus de hiérarchie qui impose la prédominance d’une norme sur les autres. Parce que la référence au religieux, la volonté de Dieu, a disparu pour être remplacée par la référence à la nation, la volonté du peuple, et parce que cette même référence est devenue obsolète dans un monde globalisé où les territoires s’entremêlent et où les organisations créent parfois leurs propres systèmes de légitimité, il n’existe plus de système de légitimité qui s’impose à tous. Chacun est désormais confronté au choix entre diverses sources de légitimité et, par voie de conséquence, différentes normes. Cette situation est particulièrement exacerbée pour les grandes entreprises qui se trouvent confrontées à des exigences institutionnelles et normatives locales5 parfois contradictoires avec les exigences internationales ou avec les exigences de leur territoire d’origine. La tétranormalisation est la prise en compte de ces conflits de normes et la recherche d’une solution pour dénouer des conflits apparemment insolubles. Le contrôle interne et l’audit, en croyant imposer un système universel qui permettrait d’appréhender le risque et de le contrôler, créent de nouveaux conflits normatifs. Cela est particulièrement visible dans certains domaines d’activités tels le secteur financier où, d’une part les établissements financiers sont contraints par des exigences de conformité aux normes comptables (IFRS) et prudentielles (Bâle II et Bâle III), et d’autre part sont incitées à rechercher de nouvelles sources de croissance et de profit dans un secteur où le déversement de liquidités par les banques centrales a conduit à une diminution drastique des taux de rémunération de l’argent et, indirectement, des taux d’intermédiation financière. L’enjeu du contrôle interne et de l’audit est donc de s’appuyer sur la compréhension des risques mis en évidence au cours des dernières décennies sans pour autant devenir prisonnier d’un système de conformité où seule la lettre de la norme serait respectée, mais où les fondements, les principes qui régissent les normes mises en œuvre, seraient totalement oubliés. La tétranormalisation considère que la solution au conflit normatif ne peut pas venir d’une sophistication croissante des normes, mais qu’elle doit au contraire redonner de la place au jugement humain, redonner aux décideurs la possibilité d’assumer des décisions qui ne sont pas nécessairement consensuelles, mais qu’ils considèrent comme nécessaires. Cela suppose aussi de repenser la place de la responsabilité, non pas comme la conséquence d’une non-conformité à la norme (qui serait la traduction de la

notion anglo-saxonne de compliance), mais comme l’acceptation d’un devoir de rendre compte de son action et de ses décisions (la notion anglo-saxonne d’accountability). Le contrôle interne est donc indispensable aux organisations, non comme un système de normes qu’il conviendrait de respecter à la lettre, mais comme un objectif de maîtrise de l’organisation au service de ses diverses parties prenantes. De même, la qualité de l’audit ne devrait pas s’évaluer en fonction de la conformité des travaux d’audit aux diverses normes internationales, mais plutôt comme la capacité à assumer un jugement sur la sincérité et la fidélité de la représentation comptable des activités de l’entreprise. L’objectif de l’audit n’est pas la conformité, mais l’image fidèle, ce que les normes IAS avaient mis en évidence en acceptant qu’une entreprise puisse s’éloigner d’une norme comptable quand cela permettait d’obtenir une meilleure représentation de la réalité des opérations. Il est regrettable que l’évolution des IFRS vers toujours plus de technicité ait conduit à privilégier la conformité sur l’image fidèle et la focalisation sur l’exigence de comparabilité internationale au détriment de la pertinence de l’information pour les parties prenantes locales et territorialisées. Repenser le contrôle interne et l’audit suppose de s’entendre sur les principes fondamentaux qui permettent le vivre ensemble de la diversité des parties prenantes dans des territoires ayant des histoires, des cultures et des coutumes parfois fort distinctes. Cela exige donc d’accepter que les normes techniques ne puissent pas être déconnectées des territoires dans lesquels elles s’incarnent. 1. Voir notamment : Burlaud A. et Colasse B . (2011), « Normalisation comptable internationale : le retour du politique ? », Comptabilité-Contrôle-Audit, tome 17, vol. 3, p. 115-128. 2. Pour mémoire, l’affaire Kerviel, qui a coûté 5 milliards d’euros à la Société Générale, a fait couler beaucoup plus d’encre ; et la faillite d’Enron, qui a entraîné la disparition du réseau Arthur Andersen, a résulté de l’annonce d’une perte de seulement un milliard de dollars. 3. Les mécanismes incitatifs qui sont liés à la fonction de normalisation (les rémunérations, le prestige lié à la participation à des organes de normalisation) constituent également de puissants facteurs conduisant à une prolifération normative toujours plus rapide. 4. Voir notamment : Savall H. et Zardet V. (2005), Tétranormalisation, défis et dynamique, Economica. Bessire D., Cappelletti L. et Pigé B. (2010), Normes : Origines et Conséquences des Crises, Economica. Cappelletti L., Pigé B. et Zardet V. (2015), Dynamique normative, Arbitrer et négocier la place de la norme dans l’organisation, EMS. 5. Liées à leurs différents territoires d’implantation.